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IT 


BEEN ， 非 第 想 找 到 一 款 集成 型 的 渗透 测试 工具 ， 找 来 找 去 ， 最 终 选 择 了 
Burp Suite ， 除 了 它 功 能 强大 之 外 ， 还 有 就 是 好 用 ， 多 于 上 手 。 于 是 就 从 网 上 下 载 了 一 个 破解 
版 的 来 用 > A s .2 版 本 ， 功 能 也 没有 现在 这 么 强大 。 在 使 用 的 过 程 中 ， 慢 慢 发 
现 ， 网 上 系统 全 量 的 介绍 BurpSuite 的 书籍 太 少 了 ， a 片段 的 讲解 ， 不 成 体系 。 后 
tuns 不 少 介 绍 BurpSuite 的 视频 ， 现 状 也 变 得 越 来 越 好 。 但 每 每 遇 到 不 知道 的 问题 
时 ， 还 是 不 得 不 搜寻 BurpSuite 的 官方 文 覆 和 英文 网 页 来 解决 问题 ， 也 正 是 这 些 问 题 ， 慢 慢 证 
我 觉得 有 必要 整理 一 套 全 面 的 BurpSuite 中 文教 程 ， 算 是 为 Web 安全 界 做 尽 自 己 的 一 份 微薄 之 
力 ， 也 才 有 了 你 们 现在 看 到 的 这 一 系列 文章 。 


我 给 这 些 文 草 取 了 IT 行业 图 书 比 较 通 用 的 名 称 : 《BurpSuite 实 战 指 南 》， 您 可 以 称 我 为 中 文 编 
写 者 ， 文 章 中 的 内 容 主 要 源 于 BurpSuite 官 方 文档 和 多 位 国外 安全 大 牛 的 经 验 总 结 ， 我 只 是 在 
他 们 的 基础 上 ， 结 合 我 的 经 验 、 理 解 和 实践 ， 编 写成 现在 的 中 文教 程 。 本 书 我 也 没有 出 版 成 
纸 质 图 书 的 计划 ， 本 着 IT 人 互联 分 享 的 精神 ， 放 在 github， 做 免费 的 电子 书 。 于 业界 ， 算 一 份 
小 小 的 贡献 ; 于 自己 ， 算 一 次 总 结 和 锻炼 。 


以 上 ， 是 为 小 记 。 


感谢 您 阅读 此 书 ， 阅 读 过 程 中 ， 如 果 发 现 错误 的 地 方 ， 欢 迎 发 送 邮 件 到 tOdata@hotmail.com, 
感谢 您 的 批评 指正 


本 书包 含 以 下 草 节 内 容 : 


第 一 部 分 Burp Suite 基础 


Burp Suite 安装 和 环境 配置 
Burp Suite 代 理 和 浏览 器 设置 
如 何 使 用 Burp Suite 代理 
SSL 和 Proxy 高 级 选项 

如 何 使 用 Burp Target 

如 何 使 用 Burp Spider 

如 何 使 用 Burp Scanner 
如 何 使 用 Burp Intruder 
如 何 使 用 Burp Repeater 
如 何 使 用 Burp Sequencer 
.如 何 使 用 Burp Decoder 
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12. 如 何 使 用 Burp Comparer 


第 二 部 分 Burp Suite 高 级 
1. 数据 查找 和 拓展 功能 的 使 用 

2. BurpSuite 全 局 参数 设置 和 使 用 
3. Burp Suite 应 用 商店 插件 的 使 用 

4. 如何 编写 自己 的 Burp Suite 插 件 


第 三 部 分 Burp Suite 综合 使 用 


1. 使 用 Burp Suite 测 试 Web Services 服 务 

2. 使 用 Burp, Sqlmap 进 行 自 动 化 SQL 注入 渗透 测试 
3. 使 用 Burp、PhantomJS 进 行 XSS 检 测 

4. 使 用 Burp ` Android Killerzt 47-<-# app #34 1 


第 一 章 Burp Suite 安装 和 环境 配置 


Burp Suite 是 一 个 集成 化 的 渗透 测试 工具 ， 它 集合 了 多 种 涂 透 测试 组 件 ， 使 我 们 上 自动 化 地 或 手 
工地 能 更 好 的 完成 对 web 应 用 的 渗透 测试 和 攻击 。 在 渗透 测试 中 ， 我 们 使 用 Burp Suite 将 使 得 
测试 工作 变 得 更 加 容易 和 方便 ， 即 使 在 不 需要 娴熟 的 技巧 的 情况 下 ， 只 有 我 们 熟悉 Burp Suite 
的 使 用 ， 也 使 得 渗透 测试 工作 变 得 轻松 和 高 效 。 


Burp Suite 是 由 Java 语 言 编 写 而 成 ， 而 Java 上 自身 的 跨 平 台 性 ， 使 得 软件 的 学 习 和 使 用 更 加 方 
便 。Burp Suite 不 像 其 他 的 自动 化 测试 工具 ， 它 需要 你 手工 的 去 配置 一 些 参 数 ， 触 发 一 些 自动 
化 流程 ， 然 后 它 才 会 开始 工作 。 


Burp Suite 可 执行 程序 是 java 文 件 类 型 的 jar 文 件 ， 免 费 版 的 可 以 从 免 寓 版 下 载 地 址 进行 下 载 。 
免费 版 的 Burp Suite 会 有 许多 限制 ， 很 多 的 高 级 工具 无 法 使 用 ， 如 果 您 想 使 用 更 多 的 高 级 功 
能 ， 需 要 付费 购买 专业 版 。 专 业 版 与 免费 版 的 主要 区 别 有 


1. Burp Scanner 
2. 工作 空间 的 保存 和 恢复 
3， 拓 展 工 具 ， 如 Target Analyzer, Content Discovery 和 Task Scheduler 


本 章 主 要 讲述 Burp Suite 的 基本 配置 ， 包 含 如 下 内 容 : 


ө 如 何 从 命令 行 启动 Burp Suite</br> 
e 如 何 设置 JVM 内 存 大 小 </br> 
e |Pv6 =] ## 75 1X 


如 何 从 命令 行 启动 Burp Suite 


Burp Suite 是 一 个 无 需 安 装 软 件 ， 下 载 完成 后 ， 直 接 从 命令 行 记 用 即 可 。 但 Burp Suite M 
Java 语 言 开 发 的 ， 运 行 时 依赖 于 JRE， 需 要 提前 Java 可 运行 环境 。 如 果 没 有 配置 Java 环 境 或 
者 不 知道 如 何 配置 的 童鞋 请 参考 Win7 电 脑 上 的 Java 环 境 配 置 配置 完 Java 环 境 之 后 ， 首 先 验证 
Java 配 置 是 否 正 确 ， 如 果 输 入 java -version 出 现下 图 的 结果 ， 证 明 配 置 正确 且 已 完成 。 
Ga SEM: C:\Windows\system3 | 





Сі “lsers™", УЈача -version 


java version “"1.7.6_17" 
JavatTh® SE Runtime Environment Cbhuild ERR > 
Java HotSpot<TM> 64-Bit Server UM Chuild 23.7-b81, mixed mode? 


这 时 ， 你 只 要 在 
cmd 里 执行 java -jar /your_burpsuite_path/burpSuiteJjar 即 可 局 动 Burp Suite, 或 者 ， 你 将 Burp 
Suite 的 jar 放 入 class_path 目 录 下 ， 直 接 执行 java -jar burpSuite.jar 也 可 以 启动 。 


== 注 意 : your_burpsuite_path 为 你 Burp Suite 所 在 路 径 ，burpSuite.jar 文 件 名 必须 跟 你 下 载 的 
jar 文 件 名 称 一 致 == 


如 何 设置 JVM 内 和 大 大 小 
如 果 Java 可 运行 环境 配置 正确 的 话 ， 当 你 双击 burpSuite.jar 即 可 启动 软件 ， 这 时 ，Burp Suite 
自己 会 自动 分 配 最 大 的 可 用 内 存 ， 具 体 实际 分 配 了 多 少 内 存 ， 上 默认 一 般 为 64M。 当 我 们 在 渗 
透 测试 过 程 ， 如 果 有 成 千 上 万 个 请 求 通过 Burp Suite， 这 时 就 可 能 会 导致 Burp Suite 因 内 存 不 
足 而 崩溃 ， 从 而 会 丢失 渗透 测试 过 程 中 的 相关 数据 ， 这 是 我 们 不 希望 看 到 的 。 因 此 ， 当 我 们 
启动 Burp Suite 时 ， 通 第 会 指定 它 使 用 的 ° 一 般 来 说 ， 我们 通常 会 分 配 2G 的 内 存 供 
Burp Suite 使 用 ， 如 果 你 的 电脑 内 存 足 够 ， 可 以 分 配 4G ; 如 果 你 的 电脑 内 存 足 够 小 ， 你 也 可 
以 分 配 128M。 当 你 给 Burp Suite 分 配 足 够 多 的 内 存 时 ， 它 能 做 的 工作 也 会 更 多 。 指 定 Burp 
Suite 占 用 内 存 大 小 的 具体 配置 方法 是 在 启动 脚本 里 添加 如 下 命令 行 参数 : 假设 启动 脚本 的 名 
fr X burp suite start.bat， 则 该 bat 脚 本 的 内 容 为 


java -jar -Xmx2048M /your_burpsuite_path/burpsuite. jar 


其 中 参数 -Xmx 指 定 JVM 可 用 的 最 大 内 存 ， 单 位 可 以 是 M， 也 可 以 是 G， 如 果 是 G 为 单位 的 话 ， 
则 脚本 内 容 为 : 


Java -jar -Xmx2G /your_burpsuite_path/burpsuite. jar 
更 多 关于 JVM 性 能 调 优 的 知识 请 阅读 Oracle JVM Tuning 


IPv6 问 题 调 试 
Burp Suite 是 不 支持 IPv6 地 址 进行 数据 通信 的 ， 这 时 在 cmd 控 制 台 里 就 会 抛 出 如 下 异 第 


Java.net.SocketException: Permission denied 
同时 ， 浏 览 器 访问 时 ， 也 会 出 现 异常 
Burp proxy error: Permission denied: connect 


当 出 现 如 上 问题 时 ， 我 们 需要 修改 司 动 脚本 ， 添 加 对 IPv4 的 指定 后 ， 重 司 Burp Suite Fp 7 ° 


java -jar -Xmx2048M -Djava.net.preferIPv4Stack=true /your_burpsuite path/burpsuite.jJ 
ar 


通过 -Djava.net. о. 置 ， 告 诉 Java 运 行 环 境 ， 使 用 IPv4 协 议 栈 进行 
数据 通信 ，IPv6 协 议 将 会 被 禁止 使 用 。 这 个 错误 最 常见 于 64 位 的 windows 操 作 系 统 上 ， 使 用 
了 32 位 的 JDK 
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第 二 章 Вигр Suite 代 理 和 浏览 器 设置 

Burp ne DCN ， 拦 截 所 有 通过 代理 的 网 络 流量 ， 如 客户 端的 请 求 数 
据 、 服 务 器 端的 返回 信息 等 。Burp Suite 主 要 拦截 http 和 https 协 议 的 流量 ， 通 过 拦截 ，Burp 
Suite 以 中 间 人 的 方式 ， 可 以 对 客户 端 请 求 数 据 、 服 务 端 返回 做 各 种 处 理 ， 以 达到 安全 评估 测 
试 的 目的 。 


在 日 常 工作 中 ， 我 们 最 常用 的 web 客 户 端 就 是 的 Web 浏览 器 ， 我 们 可 以 通过 代理 的 设置 ， 做 到 
对 Web 浏 览 览 2s 2s 的 流量 拦截 ， 并 对 经 过 Burp Suite 代 理 的 Z {Л Р 量 数据 进行 处 理 9 


下 面 我 们 就 分 别 看 看 IE、Firefox、Google Chrome 下 是 如 何 配 置 Burp Suite 代 理 的 。 


IE 设置 


5 Вигр Suite 局 动 之 后 ， 默 认 分 配 的 代理 地 址 和 端口 是 127.0.0.1 : 8080, 我 们 可 以 从 Burp 


Suite 的 proxy 选 项 卡 的 options 上 查看 。 如 图 
Burp Intruder ЕРЕ ЛА Window Help 


| Intercept | HTTP history | WebSockets history - Options 


В Proxy Listeners 2 




































































m Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need ta configure your browser to 
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Running | Interface = | Invisible | Redirect | Certificate 












































现在 ， 我 们 通过 如 下 步骤 的 设置 即 可 完成 IE 通过 Burp Suite 代理 的 相关 配置 


1. È HIE W, = 
2. 点击 【 工 具 】 菜 单 ， 选 择 【Internet】 选 项 
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МИҢ (ҤНҤ FSE EEV AEA (ШЕ< ЕШ EH) 
Ӯ СИ | 浏览 历史 记录 (D).. Ctrl+Shift+Del 
InPrivate Dora Ctrl+Shift+P 


重新 打开 上 次 浏览 会 活 (G) 
Tren) "rie" sESB(M) 


== ERN) Ctrl 4-J 
ЗЕН ГИН P) 
SmartScreen WsEE=S[ |] 


Windows 更 新 [U) 
Fl? FeAm [ (1) 


HttpWatch Professional 
Fiddler 



































| Internet ЖЫ (О) 


























З. ат 【连接 】 选 项 卡 ， 点 击 быы.) ， 进行 代理 设置 。 


ternet 选项 


A Hien Internet SE: Ei "um 
Heg Redi n 


ЖЕШ VEN). 
MER OR). 


а E | Боят олно. 要 确保 使 用 手动 设置 ， 请 禁用 自动 本 
© MAH SE © а 

puce Павее A) 

> ETRE 0) lla вене GS) 


SBR: я emuao] И ог 


LAY 设置 不 应 用 到 的 号 连接 。 对 于 拨号 设 | ВЕБЕ 
US кы К ознака. Jp LAT 使 用 代理 服务 器 这 此 设置 不 用 于 找 呈 或 vem Н) 


地 址 127.0.0.1 am L] С): 8080 ART _ 
ЗУУ FAAA 1ТЕ АЕ 5-28 (В) 





4. 在 代理 服务 器 设置 的 地 址 输入 框 中 填写 127.0.0.1 ,端口 填写 8080， 点 击 【 确 定 】， 完 成 代 


=p 
ч а EE ARAF АА 


Еа (А) 
PR ЕНЕ! А Г} (S) 
Tid (Е) 


WIRA аз 
ria FARES ак OME Ra MET =s VPR SERO 


地 址 [тосол mna 5050 | CERO 


站 对 于 本 地 地 址 未 使 用 蔗 理 服务 器 中) 











JEJR £ 5042 ë ° K 
5. 这 时 ，IE 的 设置 已 经 元 成， 你 可 以 访问 http://burp 将 会 看 到 Burp Suites) cer di ° 


= 
бо к http://burp/ 


XHA ”编辑 (E) EEV) 收藏 夫 (A) ТАП) ”帮助 (H) 


LS 


h * | 
wos I 







à 2 D ~ © || IËË Burp Suite Professional 


Proxy History СА Certificate Plug-n-hack 





Burp Suite Professional 


Welcome to Burp Suite Professional. You can use this web interface to access the Proxy history, download your Burp CA certificate, or configure your browser (via 
the Firefox plug-n-hack plugin). 


FireFox X à. 


eý FireFox] W 25 8719 15 Я, 


у 


与 上 的 设置 类 似 ， 在 FireFox 中 ， 我 们 也 要 进行 一 些 参数 设置 ， 才 
量 ， 通 过 Burp Suite 代 理 进行 传输 。 详 细 的 步骤 如 下 : 


— 


È 3FireFoxx 3,2 * Aa (LA) XE» (HM) © 
文件 [F) SAD BSW) eS) SSE) еН) 0 
У E EEF. tratan x V) TED сан 

S= | ҤЧШЛЕБ (А) Ctrl+Shift+A 
\ & ага https://www.bardu.com 发 起 聊天 四 







i ixi 同步 
言 肥 : 11°С 良 87 | EE BE = 
Default User Адепї k 
Web Tee h 
паат 


zumo) 4 


2. 在 新 打开 的 about:preferences#advanced 窗 口中 ， 依 次 点 击 【高 级 】-【 网 络 )， 我 们 将 
会 看 到 FireFox 连 接 网 络 的 设置 选项 。 


т 9 + ят @ 95- 


Q 
p 
су 
A 
+ 
> 


€ | 局 Firefox aboutpreferences#advanced 





连接 
配置 Firefox 如 何 连接 全 国际 互联 网 ig (Б)... 
网 络 内 容 缓存 
您 的 网 络 内 容 缓 存 当前 已 使 用 150 MB 磁盘 空间 立即 清除 (C) 
FALE EF EEER(O) 
缓存 最 大 为 (L) 210 MB 磁盘 空间 





3， 点 击 【 设 置 ]， 在 弹出 的 【连接 设置 】 对 话 框 中 ， 找 到 “http 代 理 *”， 填写 127.0.0.1， 端 口 
填写 8080， 最 后 点 击 【 确 认 】 保 存 参 数 设 置 ， 完 成 FireFox 的 代理 配置 。 


TF 


配置 访问 国际 互联 网 的 代理 
(С) 不 使 用 代理 (Y) 
© 自动 检测 此 网 络 的 代理 设置 (W) 
局 使 用 系统 代理 设置 (U) 
@ SVMS: (М) 2 EN 
HTTP E: (Х) 127.0.0.1 : | | 设置 (E)... 
1 为 所 有 协议 使 用 相同 代理 (8S) 
SSL 代理 : iL]: (O) 
FTP 代理 : Gal] : (R) DBO [s 立即 清除 (C) 
SOCKS 主机 : жа: (T) 


A SOCKS vd @ SOCKS v5 D] 远程 DNS 


不 使 用 代理 : (N) 


例如 : mozilla.org, .net.nz, 192.168.1.0/24 AZ ШзЗЕК(М) 


© 自动 代理 配置 ( PAC ) : 例外 (X)... 
重新 载 入 提 
Г] 如 果 密 码 已 保存 ， 不 提示 身份 验证 中 "8 


on... 





当然 ，FireFox 浏 览 器 中 ， 可 以 添加 FireFox 的 扩展 组 件 ， 对 代理 服务 器 进行 管理 。 例 如 
FireX Proxy ` Proxy Swither 都 是 很 好 用 的 组 件 ， 感 兴趣 的 读者 可 以 自己 下 载 试用 一 下 。 


Google Chrome 设 置 


Google Chrome 使 用 Burp Suite 作 为 代理 服务 器 的 配置 步骤 如 下 : 
1. Š 22 Соодіе Chrome] ti 2$ › 4 X,3E f£ 4 Achrome://settings/ > =) 4 5 BP X zs Google 


Chrome] 5t, Z$ 84 At aR d 
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€ > С |D chromey/settings 
=: 应 用 D tria D 网 页 快讯 库 D 自 定 尺 链接 COME RBA D 








Chrome 15 B 竹 设 置 中 搜索 
历史 记录 登录 
扩展 程序 登录 后 可 获取 您 所 有 设备 上 目前 打开 的 标签 页 ， 保 存 的 书签 ， 历 史记 录 和 其 他 设置 。 此 外 , 您 还 会 自动 登录 
| 设置 Google IRS. SHES 
| 登录 Chrome | 
关于 
启动 时 


© DARED 
С) 从 上 次 停 下 的 地 方 礁 续 
O 打开 特定 网 页 或 一 组 网 页 。 设置 网 页 


外 观 
(ewe) ice 
国 显示 "主页 “按钮 
4 BES rise 


点 击 底部 的 【显示 高 级 设置 】， 将 显示 Google Chrome 浏 览 器 的 高 级 设置 。 
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A 


m 


3. 


— € Burp Suite 代 理 和 浏览 器 设置 


J ses DE EE l 
€ > С | Ò chrome://settings | 
: 应 用 | 建议 网 站 | 网 页 快讯 库 | BEV 从 正中 导 六 站 


Chrome 15 28 设置 
历史 记录 登录 
ue 登录 后 可 获取 您 所 有 设备 上 目前 打开 的 标签 页 、 保 存 的 书签 ， 历 史记 录 和 其 他 设置 。 此 外 ， 您 还 会 生动 登录 
| 设置 Google 服务 。 ГЕ 
登录 Chrome 
启动 时 


(m) 打开 新 标签 页 
从 上 次 停 下 的 地 方 瞧 续 
(С) 打开 特定 网 页 或 一 组 网 页 。 设置 网 页 


外 观 
ЕЕЕ ssuscrmss 


O 显示 "主页 "按钮 











| Goo Google * Me — 
EA. 


C 用 户 1 ( 当前 ) 
Ім) 启用 访客 浏览 
| 欧 许 任何 人 向 Chrome 添加 用 户 


| 添加 用 户 .，| 修改 .。 | в. || 导入 书签 和 设置 . 


ЖАТА таа 
| Ж Google Chrome EERE ABA ВЕЕ | 
Google Chrome ВОЛА cigs. 





显 志高 级 设置 ,.， 


当然 ， 你 也 可 以 直接 在 搜索 框 中 输入 “代理 ”*”， 回 车 后 将 自动 定位 到 代理 服务 器 设置 功能 。 
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第 二 章 Burp Suite 代 理 和 浏览 器 设置 


femme O CEE an  -«H- 7 
> С |L chrome://settings/search#%E4%BB%A3%E7%90%86 
= 应 用 D 建 议 网 站 O а O 自 定义 链接 CJ 从 IE 中 导入 [7 


Chrome 搜索 结 — 
历史 记录 网 络 
扩展 程序 Google Chrome 会 使 用 您 计算 机 的 系统 代理 设置 连接 到 网 阁 。 

| == | 更改 代理 服务 器 设置 | | — 


4. 点击 【和 更改 代理 服务 器 设置 】，windows 系 统 下 将 会 弹出 IE 浏览 器 的 代理 设置 ， 此 时 ， 按 
wee SNE BUH , ERREI MAC APPA о 


iio dum 种 常用 的 浏览 器 外 ， 还 有 Safari 浏 览 器 也 有 不 少 的 用 户 在 使 用 ， 其 代理 配置 请 点 
ins 行 查看 。 
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第 三 章 如 何 使 用 Burp Suite. 


Burp Proxy x Burp Suite 74 f] Р 28 5) 测试 流程 功能 的 核心 d 通过 代理 模式 ° 可 以 让 我 们 拦截 b 
查看 、 修 改 所 有 在 客户 端 和 服务 端 之 间 传 输 的 数据 。 
本 章 主 要 讲述 以 下 内 容 : 

e Burp Proxy 基 本 使 用 

e 数据 拦截 与 控制 


e 可 选项 配置 Options 
e 历史 记录 History 


Burp Proxy 基 本 使 用 


通过 上 一 章 的 学 习 ， 我 们 对 Burp Suite 代 理 模式 和 浏览 器 代理 设置 有 了 基本 的 了 解 。Burp 
Proxy 的 使 用 是 一 个 循序 渐进 的 过 程 ， 刚 开始 使 用 时 ， 可 能 并 不 能 很 快 就 获取 你 所 期 望 的 结 
果 ， 慢 慢 地 当 你 熟悉 了 它 的 功能 和 使 用 方法 ， 你 就 可 以 用 它 很 好 地 对 一 个 产品 系统 做 安全 能 


力 评 估 。 一般 使 用 Burp Proxy 时 ， 大 体 涉及 环节 如 下 : 


1. 首先 ， 确 认 JRE 已 经 安装 好 ，Burp Suite 可 以 启动 并 正常 运行 ， 且 已 经 完成 浏览 器 的 代理 


服务 器 配置 。 

2， 打 开 Proxy 功 能 中 的 Intercept 选 项 卡 ， 硝 认 拦 截 功能 为 "Interception is on” 状 态 ， 如 果 显 示 
为 “Intercept is ofP" 则 点 击 它 ， 打 开 拦 截 功能 。 
— Intruder Repeater Window Help 


Proxy | spider | Scanner intruder Repeater | Sequencer | Decoder | Comparer | Extender | Options 





Intercept | НТТР history | WebSockets history | Options 
Mo proxy listeners are currently running - go to the Options tab to enable a listener 


Interceptis on | Action 


Raw Params Headers Hex 


3. ТТБ o BAT S X2 URL (A http://baike.baidu.com/73 4] ) 并 回 车 ， 这 时 你 
将 会 看 到 数据 流量 经 过 Burp Proxy 并 暂停 ， 直 到 你 点 击 【Forward】， 才 会 继续 传输 下 
去 。 如 果 你 点 击 了 【Drop】， 则 这 次 通过 的 数据 将 会 被 丢失 ， 不 再 继续 处 理 。 

4.， 当 我 们 点 击 【Forward】 之 后 ， 我 们 将 看 到 这 次 请 求 返回 的 所 有 数据 。 


9. 


默认 情况 下 ，Burp Proxy 只 拦截 请 求 的 消 


的 ， 
域 、 


Burp Suite Professional v1.6beta - licensed to LarryLau = Е UM -= ol xX | 
Burp Intruder Repeater Window Help 











Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


| Intercept | HTTP history | WebSockets history | Options 


Response from http://baike.baidu.com:80/ [111.13.12.147] 











Forward Drop | Interceptison | Action [Comment this item 122) 12) 
| Raw | Headers | Нех | HTML | Render | 
НТТР/1.1 200 ОК [A 


Proxy-Connection: keep-alive 

Content-Type: text/html 

Date: Wed, 23 Mar 2016 07:22:12 GMT 
Server: Apache 

Tracecode: 13321237920289874954032315 
Vary: Accept-Encoding 

Content-Length: 73644 


«IDOCTYPE html» 
<!--STATUS OK--> 
<html> 


<head> 

<meta charset="UTF-8"> 

«meta http-equiv= "X-UA-Compatible" content= "IE=Edge" /> 

<meta пате = "description" 

content= "百度 百科 是 一 部 内 容 开 放 、 自 由 的 网 络 百科 全 书 ， 虽 在 创造 一 个 涵盖 所 有 领域 知识 ， 服 务 所 有 互 00 网 用 户 的 中 文 知识 性 百科 全 书 。 在 这 里 你 可 以 参与 词 条 编辑 ,分享 贡献 你 的 知识 。 "> 
<title> 百 度 百 科 ._ 全球 最 大 中 文 百 科 全 书 </title> 


«meta itemprop= "name" content= "百度 百科 _ 全球 最 大 中 文 百科 全 书 "> 
<meta itemprop= "description" 
content= "百度 百科 是 一 部 内 容 开 放 、 自 由 的 网 络 百 科 全 书 ， 虽 在 创造 一 个 涵盖 所 有 领域 知识 ， 服 务 所 有 互 00 网 用 户 的 中 文 知识 性 百科 全 书 。 在 这 里 你 可 以 参与 词 条 编辑 ,分享 贡献 你 的 知识 。 "> 
«meta itemprop= "image" content= "http://baike.bdimg.com/cms/static/baike.png"» 
«script type="text/javascript"> 

void function(g.f.j, c, h, d, b) (g.alogObjectName-h, g[h] = g[h]||functionO {(g[h].q=g[h].q][[]).push(arguments)}, g[h].I - g[h].I|| - new 
Date, d -f.createElement(j), d.async-!0,d.src- с,Ь = f.getElementsByTagName(j) [0], b.parentNode.insertBefore(d,b)) (window,document, "script", "http://img.baidu.com/hunter/alog/alog.min.j 
s^, "alog");void function()ffunction c()(return;jwindow.PDC- (mark:function(a,b) (alog("speed.set",a,b||--new 
Date);alog.fire&&alog.fire("^mark")),initifunction(a)falog("speed.set", "options",a)],view start:c,tti:c page_ready:c}}(); void function(n){var o=!1;n.onerror=function(n,e,t,c){var 
i=!0;return!e&&/“script 
error/i.test(n) &&(0?i=!1:0=!0), i&&alog("“exception.send”, "exception", {msg:n,js:e,In:t,col:c}),!1},alog(“exception.on”, “catch”, function(n)(alog(" exception.send", "exception", (msg:n.msg,js: 
n.path,In:n.In, method:n.method, flag: "catch "})})}(window); 
</script> 


«1--[if Ite IE 9]> 
<script> 
(function() { 
var е = "abbr,article aside, audio, canvas, datalist, details, dialog,eventsource, figure, footer, header, hgroup,mark,menu, meter,nav, output progress, section, time, video ".split(", "), 
i = e.length; 


while (i--) { 
DDUH TTT sa nat 
4 Burp Suite 拦 截 的 客户 端 和 服务 器 交互 之 后 ， 我 们 可 以 在 Burp Suite 的 消息 分 析 选 项 卡 
中 查看 这 次 请 求 的 实体 内 容 、 消 息 头 、 请 求 参数 等 信息 。 消 息 分 析 选 项 视图 主要 包括 以 
下 四 项 


dost: антен 

?roxy-Connection: keep-alive 

Accept: text/html, application/xhtml+xml, application/xml:g=0.5,image/webp,*/*:q=0.8 

Jser-Agent: Mozilla/5.0 (Windows NT 6.1) Apple\WebKit/53 7.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/53 7.36 
Accept-Encoding: gzip,deflate,sdch 

Accept-Language: zh- CN,zh:q- 0.8 

cookie: BAIDUIDZF829FIF295BEA4D07874A4A3 cap EFB SFG=1; PSTMz1458717351; Н PS Р5510= 19411 1456 192! 


Raw 这 是 视图 主要 显示 Web 请 求 的 raw 格 式 ， 包 含 请 求 地 址 、http 协 议 版 本 、 主 机 头 、 浏 
览 器 信息 、Accept 可 接受 的 内 容 类 型 、 字 符 集 、 编 码 方式 、cookie 等 。 你 可 以 通过 手工 
修改 这 些 信 息 ， 对 服务 器 端 进 行 ол 

params кые то 请 求 的 参数 信息 、 和 包括 GET 或 者 POST 请 求 的 参数 、 
Cookie i ° 渗透 人 员 可 以 通过 修改 这 些 请 求 参 数 来 完成 对 服务 器 端的 渗透 测试 。 
headers 这 个 视图 显示 的 信息 和 Raw 的 信息 类 似 ， 只 不 过 在 这 个 视图 中 ， 展 示 得 更 直观 、 
友好 。 

Hex 这 个 视图 显示 Raw 的 二 进 制 内 容 ， 你 可 以 通过 hex 编 辑 器 对 请 求 的 内 容 进 行 修 改 。 











息 ， 普 通 文 件 请 求 如 css、js、 图 片 是 不 会 被 拦截 
你 可 以 修改 默认 的 拦截 选项 来 拦截 这 些 静 态 文件 ， 当 然 ， 你 也 可 以 通过 修改 拦截 的 作用 
参数 或 者 服务 器 端 返回 的 关键 字 来 控制 Burp Proxy 的 消息 拦截 ， 这 些 在 后 面 的 草 节 中 我 


们 会 进一步 的 学 习 。 所 有 流 经 Burp Proxy 的 消息 ， 都 会 在 http history 记 录 下 来 ， 我 们 可 以 通 
过 历史 选项 卡 ， 和 查看 传输 的 数据 内 容 ， 对 交互 的 数据 进行 测试 和 验证 。 同 时 ， 对 于 拦截 到 的 
消息 和 历史 消息 ， 都 可 以 通过 右 击 弹出 菜单 ， 发 送 到 Burp 的 其 他 组 件 ， 如 Spider、Scanner、 
Repeater、|ntruder、Sequencer、Decoder、Comparer、Extender， 进 行进 一 步 的 测试 。 如 


下 图 所 示 : 
Burp Suite Professional v1.6.27 - licensed to Larry Lau "ЭШИ" Н" О ОЛ ОИ a 


Burp Intruder Repeater Window Help 


Target | Ргоху | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 
Intercept | НТТР history | WebSockets history | Options 



































Filter: Hiding CSS, image and general binary content | (2) 

# | Host | Method | URL | Params | Edited | Status | Length | MIMEtype | Extension | Title | Comment SSL |Р | Cookies | 

1 http://ise.sapi.so.com GET /s?q=baike&src=se Ы CJ 200 1000 text Ü 101.226.12.226 

2 http://baike.ba GET /favicon.ico GJ CJ 302 391 HTML ico 302 Found (J)  61.191.206.4 

3 http://search.114s0.cn GET /search_web.html?id=110&kw=baike.ba Ы Ш 302 554 HTML html O 221.235.255.4 soV=1; soKey=494... 
http://daohanc so.cn 3ET zy2/?id=110&kw=baike.ba&s=ah&h=4 (Z) g 2 3208 HTML TAA g 59.44.25.211 

5 http://upext.chrome.360.cn GET lintf.php?method-ExtUpdate.query&os-... Ы CJ 200 479 XML php О  61.190.112.75 

6 http://seapp.stat.360safe.com GET Iq.html?name-pproc&sever-7.1.1.6448... Ы GJ 200 209 HTML html CJ 106.120.168.90 

7 http://se.360.cn GET Isetm/setm.html GJ GJ 200 2134 JSON html GJ 150.138.214.83 

8 http://site.browser.360.cn GET /msgmodel.php?mt=[%22ssrc%22] Ы Ш 200 2524 JSON php Ш 106.39.219.24 





PE 
Request | Response | 
| Raw | Headers | Нех | HTML | Вепдег 


НТТР/1.1 200 ОК [A 
Server: nginx/1.2.0 

Date: Wed, 23 Mar 2016 12:23:07 GMT 

Content-Type: text/html 

Vary: Accept-Encoding 

X-Powered-By: PHP/5.4.18 

Powered-By-ChinaCache: MISS from 01057293SB.2 

Powered-By-ChinaCache: MISS from 01012193SD 

Connection: close 

Content-Length: 31795 








«IDOCTYPE html PUBLIC *-//W3C//DTD XHTML 1.0 Transitional//EN" "http;//www.w3.org/TR/xhtml 1/DTD/xh tml 1 -transitional.dtd"» 
«html xmins- "http;//www.w3.org/1999/xhtml"» Y 


Ez Ls) |ы) а. [Type а search term 0 matches 


一 一 ШЕШ т 一 — 








数据 拦截 与 控制 


Burp Proxy 的 拦截 功能 主要 由 Intercept 选 项 卡 中 的 Forward、Drop ` Interception is on/off ` 
Action - Comment 以 及 Highlight 构 成 ， 它 们 的 功能 分 别 是 : Forward 的 功能 是 当 你 查看 过 消 
息 或 者 重新 编辑 过 消息 之 后 ， 点 击 此 按钮 ， 将 发 送 消息 至 服务 器 端 。 Drop 的 功能 是 你 想 丢 失 
当前 拦截 的 消息 ， 不 再 forward 到 服务 器 端 。 Interception is on 表示 拦截 功能 打开 ， 拦 截 所 有 
通过 Burp Proxy 的 请 求 数 据 ; Interception is off 表 示 拦 截 功 能 关闭 ， 不 再 拦截 通过 Burp 
Proxy 的 所 有 请 求 数据 。 Action 的 功能 是 除了 将 当前 请 求 的 消息 传递 到 Spider、Scanner、 
Repeater、Intruder、Sequencer、Decoder、Comparer 组 件 外 ， 还 可 以 做 一 些 请 求 消息 的 修 
改 ， 如 改变 GET 或 者 POST 请 求 方式 、 改 变 请 求 body 的 编码 ， 同 时 也 可 以 改变 请 求 消息 的 拦 
截 设 置 ， 如 不 再 拦截 此 主机 的 消息 、 不 再 拦截 此 IP 地 址 的 消息 、 不 再 拦截 此 种 文件 类 型 的 消 
息 、 不 再 拦截 此 目录 的 消息 ， 也 可 以 指定 针对 此 消息 拦截 它 的 服务 器 端 返回 消息 。 
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ç ча 4 | M m LA 1 4 


ent | HTTP history | WebSockets history 





rt oo 


GET request to / 


Type 

Cookie 
Cookie 
Cookie 
Cookie 
Cookie 


Comment 的 功能 是 指 对 拦截 的 消息 添加 备注 ， ine 试 中 ， 
求 消息 ， 为 了 便于 区 分 ， 在 茶 个 关键 的 请 求 消 息 


| # | Request to hitp://baike.baidu.com:80 [220.181.5723 


| Forward | | Drop | | Intercept is on | | Action | 













Send to Spider 
Do an active scan 
Send to Intruder 


send to Repeater 
















Send to Sequencer 
send to Comparer 

Send to Decoder 
Request in browser P iDaBficfücBd7c83a 


Engagement tools 





Change request method 
Change body encoding 
Сору Сїгї+С 
Сору URL 

Copy as curl command 

Copy to file 
Paste from file 
save item 


Don t intercept requests 


To this host 
To this IP address 


For this file extension 








Do intercept 









Message editor help 








Proxy interception help For this directory 


你 可 以 添加 备注 信息 。 


你 通常 会 遇 ik jd 








| intercept | HTTP history | WebSockets history | Options 


(4) Request to http-//baike.baidu.com:80 [220.181.57 232] 
Forward Drop Intercept is on | Action 
== J 


Name 











| Value 
GET I HTTPA.1 
Host baike.baidu.com 
Cache-Control max-age=0 
Accept text/html, application/xhtml+xml,application/xml;q=0.9, image/webp,*/*;q=0.8 
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 
Accept-Encoding gzip,deflate,sdch 
Accept-Language zh-CN,zh;q-0.8 
Cookie BAIDUID=C1AA407¢ \COCACD7316D3C281F68A; PSTM=14 


Highlight 27 1245 Comment fé 


求 消 息 相 区 分 。 


点 类 似 ， 即 对 当前 拦截 的 消息 设 





置 高 亮 ， 以 便于 其 他 的 请 








| intercept | HTTP history | WebSockets history | Options 


# | Request to http://baike.baidu.com:80 [220.181.57.232] 
Forward Drop | Intercept is оп | Action 
(new [ params [senses [| нек | 








Мате 





СЕТ 

Host 
Cache-Control 
Ассерї 
User-Agent 
Accept-Encoding 
Accept-Language 
Cookie 


除了 Intercept 中 可 以 对 通 — 消息 进行 控制 外 ， 在 可 选项 设 
的 功能 设置 也 可 以 对 流 经 的 消息 ‚Б 


| Маше 
ЇНТТР/1.1 
baike.baidu.com 
max-age=0 
text/html, application/xhtmi+xml,application/xml;q=0.9, image/webp,*/*;q=0.3 
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 
gzip,deflate,sdch 
zh-CN,zh;q-0.8 
BAIDUID=C1AA407¢ 





\COCACD7316D3C281F68A; PSTM=14 


行 控制 和 处 理 。 





置 选项 卡 Options 中 也 有 很 多 








*] 28 7f да Options 


当 我 们 打开 可 选项 设置 选项 卡 Options， 从 界面 显示 来 看 ， 主 要 包括 以 下 几 大 板块 (涉及 https 
的 功能 不 包含 在 本 章 内 容 里 ， 后 面 会 一 章 专 门 叙 述 ) 


客户 端 请 求 消息 拦截 
服务 器 端 返回 消息 拦截 
服务 器 返回 消息 修改 
正则 表达 式 配 置 
其 他 配置 项 


客户 端 请 求 消息 拦截 


客户 端 请 求 消息 拦截 是 指 拦截 客户 端 发 送 到 服务 器 端 消息 的 相关 配置 选项 ， 其 界面 如 下 : 


| 2 Intercept Client Requests 


© Use these settings to control which requests are stalled for viewing and editing in the Intercept tab. 


Ы) Intercept requests based on the following rules: 


| Add | Enabled | Operator | Match type | Relationship | Condition | 
i 国 File extension Does not match (^gifSl^ipgSl^pnngSl^ cass} es*icos) 
Edit | LJ Ог Request Contains parameters 
LJ Ог НТТР method Does not match (getipost) 
| Remove | LJ And URL ls in target scope P 


Le j 
| Down | 


|_| Automatically fix missing or superfluous new lines at end of request 


国 Automatically update Content-Length header when the request is edited 


主要 包含 拦截 规则 配置 、 错 误 消息 自动 修复 、 自 动 更 新 Content-Length 消 息 头 三 个 部 分 。 


1. 


如 果 intercept request based on the follow rules 的 checkbox 被 选中 ， 则 拦截 所 有 符合 勾 
选 按钮 下 方 列表 中 的 请 求 规则 的 消息 都 将 被 拦截 ， 拦 截 时 ， 对 规则 的 过 滤 是 自 上 而 下 进 
行 的 。 当 然 ， 我 们 可 以 根据 自己 的 需求 ， 通 过 【Up】 和 【Down】 按 钮 ， 调 节 规 则 所 在 位 
置 和 排序 。 同 时 ， 我 们 可 以 点 击 【Add】 添 加 一 条 规则 ， 也 可 以 选中 一 条 规则 ， 通 过 点 击 
【Edit】 进 行 编辑 、 点 击 【Remove】 进 行 删除 。 当 我 们 点 击 【Add】 按 钮 时 ， 会 弹出 规 
则 添加 的 输入 对 话 框 ， 如 下 图 : 


Add request Interception rule 


| РЈ | specify the details of the interception rule. 


Boolean operator: | And М 


Match type: | Domain name + 


Match relationship: | Matches ВА 
Match condition: | | 


| ок | | Cancel | 





拦截 规则 添加 时 ， 共 包含 4 

个 输入 项 。Boolean opertor 表 示 当 前 的 规则 与 其 他 规则 是 与 的 方式 (And) 还 是 或 的 方式 
(Or) 共存 ; Match type 表 示 匹 配 类 型 ， 此 处 匹配 类 型 可 以 基于 域名 、IP 地 址 、 协 议 、 

请 求 方法 、URL 、 文 件 类 型 、 参 数 , cookies, 头 部 或 者 内 容 , RAB, MIMER#, HTML 页 
un 0 title f ° Match relationship 表 示 此 条 规则 是 匹配 还 是 不 匹配 Match condition 输 入 的 关 
键 字 。 当 我 们 输入 这 些 信 息 ， 点 击 【OK】 按 钮 ， 则 规则 即 被 保存 ° 

2. 如果 Automatically fix missing 的 checkbox 被 选中 ， 则 表示 在 一 次 消息 传输 中 ，Burp Suite 
会 自动 修复 丢失 或 多 余 的 新 行 。 比 如 说 ， 一 条 被 修改 过 的 请 求 消息 ， 如 果 丢 失 了 头 部 结 
束 的 空 行 ，Burp Suite 会 自动 添加 上 ; 如 果 一 次 请 求 的 消息 体 中 ，URI 编 码 参 数 中 包含 任 
何 新 的 换行 ，Burp Suite 将 会 移 除 。 此 项 功能 在 手工 修改 请 求 消息 时 ， 为 了 防止 错误 ， 有 
很 好 的 保护 效果 。 

3， 如 果 Automatically update Content-Length 的 checkbox 被 选中 ， 则 当 请 求 的 消息 被 修改 
后 ，Content-Length 消 息 头 部 也 会 自动 被 修改 ， 替 换 为 与 之 相对 应 的 值 。 


服务 器 端 返 回 消息 拦截 
服务 器 端 返 回 消息 拦截 顾名思义 是 指 拦 截 服 务 器 端 返 回 的 消息 的 相关 配置 项 ， 其 界面 如 下 : 


(2) Intercept Server Responses 


| "T Use these settings to control which responses are stalled for viewing and editing in the Intercept tab. 


国 Intercept responses based on the following rules: 





| Айа | Enabled | Operator | Match type | Relationship | Condition 
国 Content type header Matches text 
Edit С] Ог Request Was modified 
Ы Or Request Was intercepted | 
LJ And Status code Does not match ^3048 | 
LJ And URL ls in target scope 


| Up | 
| Down | 


国 Automatically update Content-Length header when the response is edited 


它 的 功能 主要 包含 intercept response based on the follow rules 和 Automatically update 


Content-Length header when the response edited 两 个 选项 ， 其 功能 分 别 与 客户 端 请 求 消息 
拦截 中 的 intercept request based on the follow rules、 a update Content-Length 
header when the request edited 相 对 应 ， 就 不 在 次 述 ， 请 参 上 一 节 的 内 容 。 


服务 器 返回 消息 修改 
服务 器 返回 消息 修改 是 指 自 动 修 改 服 务 器 端 返 回 消息 的 相关 设置 项 。 其 界面 如 下 : 


|2| Response Modification 
| T These settings are used to perform automatic modification of responses. 


|_| Unhide hidden form fields 


|. ] Enable disabled form fields 

|_| Remove input field length limits 

|_| Remove JavaScript form validation 
[J Remove all JavaScript 

|_| Remove <object> tags 

|_| Convert HTTPS links to HTTP 


|_| Remove secure flag from cookies 


自 上 而 下 ， 每 
一 个 选择 项 分 别 对 应 的 功能 是 


e 显示 form 表 单 中 隐藏 字段 

e 高 完 显 示 form 表 单 中 隐藏 字段 

° кот 中 的 disable 字 段 生 效 ， 变 成 可 输入 域 
° 移 除 输入 域 长 度 限 制 

° И 动 JavaScript 验 证 

° 移动 所 有 的 JavaScript 

° 移 除 标签 

e 转换 https 起 链接 为 http 链 接 

° 移 除 所 有 cookie 中 的 安全 标志 


通过 服务 器 返回 消息 修改 可 选择 项 的 设置 ， 可 以 方便 渗透 测试 人 员 在 安全 评估 过 程 中 突破 原 
有 的 数据 限制 ， 更 好 、 更 快 地 检测 服务 器 端的 安全 性 。 


EM] RA AAC A 


此 项 配置 主要 用 来 自动 替换 请 求 消息 和 服务 器 端 返回 消息 中 的 菜 些 值 和 文本 ， 它 与 前 文 的 规 
则 的 不 同 之 处 还 在 于 支持 正则 表达 式 语言 。 


Е2 Маїсһ апа Нер!асе 


These settings are used to automatically replace parts of requests and responses passing through the Proxy. 


©) 


Enabled | Item | Replace | Type | Comment 
Request header ^|I-HMone-Match.*& | Require non-cached response 
Request header ^Referer.*& Hide Referer header 


Request header ^Accept-Encading.*8 е: Require non-compressed responses 


Response header ^Set-Cookie.*8 Ignore cookies 

Request header “Host foo.example.orgs Host: bar.example.org | Rewrite Host header 
Request header Origin: foo.example.org Add spoofed CORS origin 
Response header “Strict-Transport-Security... е: Remove HSTS headers 





当 点 击 【Addj】 按 钮 时 ， 在 弹出 的 匹配 或 替换 规则 输入 对 话 框 中 我 们 可 以 看 到 ， 它 可 以 对 请 求 
和 返回 消息 的 消息 头 ， 消 息 体 、 请 求 参 数 名 、 请 求 参 数值 、 请 求 的 第 一 行进 行 匹配 和 替换 。 
例如 ， 当 我 们 要 替换 所 有 返回 消息 中 的 邮箱 地 址 为 tbdata@burpsuite.com 时 ， 可 以 参考 下 
gp Edit match/replace rule 
[2) Specify the details of the match/replace rule. 

Type: Response body 

Match: |O-9A-Z|]@(Ra-z0-BA-Z]+(-Ta-z0-9A-Z]+y2%0)+[a-zA-ZH225] 

Replace: | thdataiburpsuite.com 


Comment: test 


国 Regex match 





的 设置 填写 输入 项 并 保存 验证 。 


其 他 配置 项 


` 日 Fu St ° 
其 他 配置 项 主要 是 杂项 设置 。 其 界面 如 下 : 
|? | Miscellaneous 
| | These settings control some specific details of Burp Proxy’s behavior. You can change the default settings here to deal with particular problems or situations. 


|_| Use HITP/1.Ü in requests to server 

|_|] Use НТТР/1.0 in responses to client 

|_|] Set response header "Connection: close" 

[Z] Strip Proxy-* headers in incoming requests 

|_| Unpack gzip / deflate in requests 

[7] Unpack gzip / deflate in responses 

|_| Disable web interface at http://burp 

|_| Allow requests to web interface using fully-qualified DNS hostnames 
|_|] Suppress Burp error messages in browser 


|_| Disable logging to history and site map 


Enable interception at startup: @) Always enable 
(9 Always disable 


(3 Restore setting from when Burp was last closed 


目 上 而 下 依次 的 功能 是 


e 指定 使 用 HTTP/1.0 协 议 与 服务 器 进行 通信 这 项 设置 用 于 强制 客户 端 采 用 HTTP/1.0 协 议 与 
服务 器 进行 通信 ， 一 般 客 户 端 使 用 的 HTTP 协 议 版 本 依赖 于 客户 端 浏 览 器 ， 但 某 些 服务 器 
或 者 应 用 ， 必 须 使 用 HTTP/1.0 协 议 ， 此 时 可 勾 选 此 项 


e 指定 使 用 HTTP/1.0 协 议 反 馈 消 息 给 客户 端 目前 所 有 的 浏览 器 均 支 持 HTTP/1.0 协 议和 
HTTP/1.1 协 议 ， 强 制 指定 HTTP/1.0 协 议 主 要 用 于 显示 浏览 器 的 某 些 方面 的 特征 ， 比 如 ， 
阻止 HTTP 管 道 攻 击 。 


e 设置 返回 消息 头 中 的 “Connection : close” 可 用 于 某 些 情况 下 的 阻止 HTTP 管 道 攻击 。 


ө 请 求 消息 头 中 脱 掉 Proxy-* 浏览 器 请 求 消息 中 ， 通 常会 携带 代理 服务 器 的 相关 信息 ， 此 选 
项 主要 用 于 清除 消息 头 中 的 代理 服务 器 信息 。 


° 解压 请 求 消息 中 的 压缩 文件 菜 些 应 用 在 与 服务 器 端 进行 交互 时 ， 会 压缩 消息 体 ， 勾 选 此 
选项 ， 则 Burp Suite 会 自动 解压 消息 体 


° 解压 返回 消息 中 的 压缩 文件 大 多 数 浏览 器 支持 压缩 的 消息 体 ， 勾 选 此 选项 ， 则 Burp 
Suite 会 自动 解压 被 服务 器 端 压缩 的 消息 体 


e 禁用 http://burp 
° 允许 通过 DNS 和 主机 名 访问 Web 接 口 即 允许 通过 域名 或 主机 名 访问 Burp Suite 


° 不 在 浏览 器 中 显示 Burp Suite 错 误 在 我 们 使 用 Burp Suite 时 ， 如 果 发 生 了 Burp Suite 自 身 
的 错误 ， 会 在 浏览 WX 器 中 显示 ， 如 果 勾 选 了 此 项 ， 则 不 会 在 浏览 颈 中 显示 此 类 错误 ° 


e 禁用 日 志 到 历史 和 网 站 地 图 中 teva ЕЛ] ce ËB ЕТЕ Ж B &#] 2 Ж йе М sk › ARH 
情况 下 可 能 有 用 ， 比 如 说 ， 通 过 上 游 服务 器 进行 认证 或 者 做 正则 表达 式 替 换 时 ， 为 了 降 
低 内 存 的 消耗 ， 减 少 日 志 的 储存 ， 你 可 以 匀 选 此 项 。 


三 草 如 何 使 用 Burp Suite 代 理 


e 拦截 功能 开始 设置 
haan 来 配置 intercept 功 能 的 生效 方式 ， 分 为 总 是 生效 、 总 是 失效 、 从 上 一 次 
的 Burp Suite 中 恢复 设置 3 种 方式 。 


历史 记录 History 


Burp Proxy 的 历史 记录 由 HTTP 历 史 和 WebSockets 历 史 两 个 部 分 组 成 。 


Burp Intruder Repeater Window Help 








Filter: Hiding specific extensions 








# А | Host Method | URL Params | Edited | Status | Length | MIME type | Extension | Title | Comment | SSL | IP | Cookies 
1 http:/www.baidu.com GET I - 加 [J 111.13.100.92 

2 http://upext.chrome.360.cn GET lint.php?method-ExtUpdate.query... EJ HTML php Lj] 112.29.150.20 

4 http.//seapp.stat.360safe.com СЕТ /g.html?name=pproc&sever=7.1.1.... 加 HTML html Lj) 220.181.158.155 





eC 
HTTP 历 史 界 面 由 第 选 过 滤器 、 历 史记 录 列 表 、 消 息 详 情 3 个 部 分 组 成 。 
Burp Suite Professional vL6beta -licensed to пуа U NN e= 


Burp Intruder Repeater Window Help 


Filter: Hiding specific extensions 

















| Method | URL i Length | MIME type | Extension Title Comment 


http-//upext.chrome.360.cn GET Г ntf. php?method- ExtUpdate. query... HTML php 112.29.150.20 
http//www.baidu.com GET ffavicon.ico image ico 111.13.100.92 
http://seapp.stat360safe.com СЕТ /g.html?name=pproc&sever=7.1.1.... HTML html 220.181.158.155 


历史 记录 列表 











(Ram [ Headers [не | 

ET / HTTP/1.1 

ost: www.baidu.com 

Proxy-Connection: keep-alive 

Accept: text/html, application/xhtml 4xml,application/xml;qz 0.9,image/webp,*/*:q- 0.8 

ser-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 
Accept-Encoding: gzip,deflate,sdch 

Accept-Language: zh-CN,zh;q=0.8 


消息 详情 








当 我 们 在 某 一 条 历史 记录 上 单 击 ， 会 在 下 方 的 消息 详解 块 显示 此 条 消息 的 文本 详细 信息 ° 
我 们 在 某 条 消息 上 双击 ， 则 会 弹出 此 条 消息 的 详细 对 话 框 。 


23 








Safari/537.36 QIHU 360SE 
Accept-Encoding: gzip,deflate,sdch 
Accept-Language: zh-CN zh:q=0.8 


т 








0 matches 





我 们 可 以 点 击 对 话 框 右上 方 的 【Previous】、 [Next] 442 » R| W E— £ AUT — £ 28 ,8; 89 84 
£ ， 也 可 以 修改 Raw 的 请 求 参 数 ， 然 后 执行 多 种 【Action】 操 作 。 


eS 
E GET request to http://upext. rae 360.cn/intf.php?method- ExtUpdate.query&os- win&arch- x8... а= a wass) 


| Previous Previous | | eto Action — (Aim | 


send to Spider 


L I a. ú = ú. rs =. (s 





——— Do an active scan 
Е маг: Dor Send to Intruder Ctrl+| 


send to Repeater 
/intf.php?zmethod z ExtUpdate.query&os -win&arch zx&6&nacl archzx86-32&prod- chromiumcrx&g Send to Sequencer 
gnnelz stable&prodversionz 31.0.1650.63 &x- 1093 D doE %26v%3D2 
бис HTIP/1.1 
Host: upext.chrome.360.cn 
Proxy-Connection: keep-alive кетеси adenine! 
' User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Сһготе/31.0|1{ Engagementtools 
Safari/53/.36 QIHU 360SE Copy URL 
Accept-Encoding: gzip,deflate,sdch 


шш ae aaa sa Copy to file 





send to Comparer 
Send to Decoder 


Copy as curl command 
save item 


Convert selection 


Paste 


Message editor help 


Proxy history help 


历史 消息 列表 中 主要 包含 请 求 序列 号 、 请 о ` 请 求 的 方式 、URL 路 径 、 请 求 参 
数 、Cookie、 是 否 用 户 编辑 过 消息 、 服 务 器 端 返回 的 HTTP 状 态 码 等 信息 。 通 过 这 些 信息 ， 我 
们 可 以 对 一 次 客户 端 与 服务 器 端 交互 的 HTTP 消 息 详情 做 出 准确 的 分 析 ， 同 时 ， 在 下 方 的 详情 


视图 中 ， 也 提供 基于 正则 表达 式 方式 的 匹配 查找 功能 ， 更 好 的 方便 渗透 测试 人 员 查 找 消息 体 
中 的 相关 信息 。 


| Request | 
| Raw | Params | Headers | Hex | 


GET | 
/intf.php?method=ExtU pdate.query&os=win&arch=x86&nacl_arch=x86-3 2&prod=chromiumcrx&prodchannel=stable&prodversion=3 1.0.1650.63 &«=id%3Dd )pa9626v 
%3D2.1.0.0%26uc HTTP/1.1 

Host: upext.chrome.360.cn 

Proxy-Connection: keep-alive 

User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/53 7.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 QIHU 360SE 

Accept-Encoding: gzip,deflate,sdch 

Accept-Language: zh-CN,zh:q=0.8 








|_| Case sensitive 


|_| Regex 
|_| Auto-scroll to match when text changes 














„| E || > | Type a search tern 0 matche 


程 中 ， 会 在 HTTP 历 史 中 保 存 了 大 量 的 日 志 记 录 ， 为 了 更 友 
滤器 功能 。 当 我 们 点 击 HTTP 历 史 标 签 下 发 的 Filter 时 ， 将 


` 


当 我 们 在 做 产品 系统 的 安全 评估 
好 的 消息 管理 ， aa. Е 
е di je 6 38 AOR 

‘Intercept | HTTP history | WebSockets history | Options 


过 
选 过 


[2] Filter by request type Filter by MIME type Filter by status code 
加 |_| Show only in-scope items [V] HTML [v] Other text W] 2хх [success] 
|_| Hide items without responses [v] Script W] Images [М] 3xx [redirection] 
|_| Show only parameterized requests [М] XML [М] Flash [М] 4xx [request error] 
Ы CSS [М] Other binary [М] 5xx [server error] 
Filter by search term Filter by file extension Filter by annotation Filter by listener 


J Show only: asp,aspxjsp,php,do |_| Show only commented items = 
SE | Port 

H Regex u (Z) Hide: те [J Show only highlighted items 

| | Case sensitive | | Negative search 


| Showall | | Hide all | 


di RA UR AOI Z > op EMIS RD WTS SCR DPA >€ 





° 按照 请 求 类 型 过 滤 er 当前 作用 域 的 、 仅 显示 有 服务 器 端 响 应 的 和 仅 显 示 
带 有 请 求 参 数 的 i 息 。 当 你 勾 选 " 仅 显 示 当 前 作用 此 作用 域 需要 在 Burp Target 的 
Scope 选 项 中 进 > 详细 请 阅读 Burp Targeta X 3€ 3 ° 


e 按照 MIME 类 型 过 滤 你 可 以 控制 是 否 显示 服务 器 端 返 回 的 不 同 的 文件 类 型 的 消息 ， 比 如 只 
显示 HTML、css 或 者 图 片 。 此 过 滤器 目前 支持 HTML、Script、XML、CSS、 其 他 文本 、 
图 片 、Flash、 二 进 制 文件 8 种 形式 。 


5-5 15 576) НТТРЖ 525 75 Burp 根 据 服 务 器 的 状态 码 ， 按 照 2XX,3XX,4XX,5XX 
saisi 。 比 如 ， 如 果 你 只 想 显示 返回 状态 码 为 200 的 请 求 成 功 消息 ， 则 勾 选 2XX ° 


e 按照 查找 条 件 过 滤 此 过 滤器 是 针对 服务 器 端 返回 的 消息 内 容 ， 与 输入 的 关键 字 进 行 匹 
配 ， 具 体 的 匹配 方式 ， 你 可 以 选择 1. 正 则 表达 式 2. 大 小 写 敏 感 3. 否 定 查 找 3 种 方式 的 任 
何 组 合 ， 前 面 两 种 匹配 方式 容易 理解 ， 第 3 种 匹配 方式 是 指 与 关键 字 匹 配 上 的 将 不 再 显 


示 。 
e 按照 文件 类 型 过 滤 通过 文件 类 型 在 过 滤 消 息 列 表 ， 这 里 有 两 个 选择 可 供 操作 。 一 是 仅仅 


显示 哪些 ， 另 一 个 是 不 显示 哪些 。 如 果 是 仅仅 显示 哪些 ， 在 show only 的 输入 框 中 填写 显 
示 的 文件 类 型 ， 同 样 ， 如 果 不 显示 哪些 文件 类 型 ， 只 要 在 hide 的 输入 框 中 卉 写 不 需要 显示 
的 文件 类 型 即 可 。 


— X 此 过 滤器 的 功能 是 指 ， 根 据 每 一 个 消息 拦截 时 候 的 备注 或 者 是 否 高 亮 来 作 
为 第 选 条 件 控制 哪些 消息 在 历史 列表 中 显示 。 


e 按照 监听 端口 过 滤 此 过 滤器 通 第 使 用 于 当 我 们 在 Proxy Listeners 中 多 个 监听 端口 时 ， 仅 
仅 显示 某 个 监听 端口 通信 的 消息 ， 一 般 情 况 下 ， 我 们 很 少 用 到 。 


现在 ， 我 们 再 看 看 WebSockets 历 史 选 项 的 功能 ， 从 界面 上 我 们 可 以 看 出 ，WebSockets 历 史 
所 提供 的 功能 和 选项 是 HTTP 历 史 的 一 个 子 集 ， 只 是 因为 采用 的 通信 方式 的 不 同 ， 而 被 独立 出 
来 成 为 一 个 专门 的 视图 。 其 功能 的 使 用 方式 与 HTTP 历 史 雷 同 ， 此 处 就 不 在 资 述 。 


通过 本 章 的 学 习 ， 你 对 Burp Suite 的 代理 模式 有 了 更 深入 的 理解 ， 知 道 了 作为 中 间 人 的 Burp 
ee eet a nti olen wawaq 
a < а. 一 步 的 测试 。 同 时 ，Burp — 史上 日 志 功 能 和 多 种 算 选 过 滤器 让 我 
们 在 合用 中 ， 能 快速 地 查找 需要 的 数据 和 关键 信息 ， 这 些 ， Nie 助 你 提高 了 工作 效 


= SSL# Proxy 2 Ж A 


在 前 一 草 ， 我 们 已 经 学 习 了 HTTP 消 息 如 何 通 过 Burp Proxy 进 行 拦截 和 处 理 ， 本 草 我 们 将 继续 
学 习 HTTPS 协 议 消息 的 拦截 和 处 理 。 


HTTPS 协 议 是 为 了 数据 传输 安全 的 需要 ， 在 HTTP 原 有 的 基础 上 ， 加 入 了 安全 套 接 字 层 SSL 协 
议 ， 通 过 CA 证 书 来 验证 服务 器 的 身份 ， 并 对 通信 消息 进行 加 密 。 基 于 HTTPS 协 议 这 些 特性 ， 


我 们 在 使 用 Burp Proxy 代 理 时 ， 需 要 增加 更 多 的 设置 ， 才 能 拦截 HTTPS 的 消息 。 
本 章 包 含 的 主要 内 容 有 


e CA 人 证书 的 安装 
e CA 证书 的 纯 载 
e Proxy 9 15 a 
e SSL 直 连 和 隐形 代理 设置 


我 们 都 知道 ， 在 HTTPS 通 信 过 程 中 ， 一 个 很 重要 的 介质 是 CA 证 书 ， 下 面 就 我 们 一 起 来 看 看 
Burp Suite 中 CA 证 书 的 安装 


CA 证 书 的 安装 


一 般 来 说 ，Burp Proxy 代 理 过 程 中 的 CA 主要 分 为 如 下 几 个 步骤 (以 win7 下 |IE9 为 例 ) 


1. 


首先 ， 根 据 前 三 草 内 容 的 学 习 ， 你 已 配置 好 Burp Proxy 监 听 端 口 和 |E 的 代理 服务 器 设置 。 
其 次 ， 你 的 IE 浏 览 器 中 没有 安装 过 Burp Suite 的 CA 证 书 ， 如 果 已 经 安装 ， 请 先 务 载 十 
+ ° dida] Sp RA EAA nidi linked ps 


以 管理 员 身 份 ， 局 动 IE 浏 览 器 ， 在 地 址 栏 输入 http:/Wburp 并 回 车 ， 进 入 证 书 下 载 页 面 


{2 Burp Suite Professional 






їл? rz 
= -—;—— ШИШ „ш a ШП 人 
文件 ( ”编辑 (E) BBM) PEA 工具 (T) ”帮助 (H) 


Burp Suite Professional Proxy History CA Certificate Plug-n-hack 





Welcome to Burp Suite Professional. You can use this web interface to access the Proxy history, download your Burp CA certificate, or configure your browser (via 
the Firefox plug-n-hack plugin). 


点 击 上 图 所 示 的 证 书 下 载 ， 另 存 为 到 本 地 目录 。 
点 击 浏览 器 上 的 【工具 】 菜 单 ， 打 开 【Internet 选 项 】。 


AA Y7L] — CC] f \/ Xr Т? 25. Lm 
4 Ux оО Лт Proxy m Z zc 7j 


i i http.//burp/ = 
HA mE) BBV) 收藏 去 (A) (ШШШ 帮助 [H) 
删除 浏览 历史 记录 (D).… 
H InPrivate 1501) 
Burp Suite Рго mg 
ActiveX ты (Х] 
Velcome to Burp Sulte Ргоїе 收复 连接 问题 (CQ).. 
he Firefox plug-n-hack plugi 重新 打开 上 次 浏览 会 话 (9] 
将 网 站 语 加 到 “开始 ”菜单 [MI) 
== FEIN) 
弹出 窗口 阻止 程序 (P) 
SmartScreen WFSDEES[ I] 
SEERDIPESTIN(A) 


兼容 性 视图 0 
РЕВ) 
订阅 此 源 (F).. 

ig XE) 
Windows Baru) 


F12 H A DEL) 


HttpWatch Professional 
Fiddler 


Internet iO) 


5， 在 弹出 的 证 书 对 话 框 中 ， 点 击 【内容 】- 【证 书 】。 







Ctrl+Shitt+Del 


Ctrl - Shift - P 


Ctrl 十 J 
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& 控制 可 得 看 的 Internet 内 容 。 
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6， 在 弹出 的 证 书 对 话 框 中 ， 选中 【受信 任 的 根 证 书 颁 发 机 构 ] 


STARR ғ 












































Aaa) mm...) (Со | 


下 书 的 预期 目的 
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T. 点击 【下 一 步 】 ， 选 择 步 骤 3 保 存 的 证 书 文件 ， 进 行 下 一 步 操 作 。 
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证 书 导 入 向 导 


要 导 人 的 文件 
ise SS ABMS 


Mit: 


注意 : RBS BE—TcPERITRS— TU PIER: 
个 不 信息 交换- FECS #12 【FFX .Fl2) 
加 富 消 息 语法 标准 - PES #T 证 书 FTE] 
Microsoft PESIHEuE BTE CSST) 


f RAE es TESTER ES 





8. 指定 证 书 的 存储 位 置 ， 如 图 
证 书 导入 向 导 


证 书 存储 
UEPI ЕТЪР PAA Be tah e 





Windows A BANAH Riza: 或 者 您 可 以为 证 书 指 定 一 个 位 直 。 


©) 根据 证 书 类 型 ， 自 动 选 择 证 书 存 情 D 
© {ТАНЫЕ PRELA, POSUERE (Р) 
ЗЕРЕ: 
Se RE Anite АЛТА 





ХРЕМА ТОЗ Kae ae: 
PortSwigger СА 


Windows 不 能 确 内 十 书 是 百 来 和 目 "PortSwigger CA", 5785 
"PortSwigger CA" Кж, Lig up SES. «ES RIS 
GAER: 


JE£€ (shal): BEB342EF 8C4DA43C 1A5AE5D5 A3CEB79B 
26ED020F 

==: 

如 果 安 装 此 根 证书 , Windows 将 自动 信任 所 有 此 СА ВАЕН. = 
装 未 笃 指 兹 确认 的 证 书 有 安全 风险 。 如 果 单 击 "EB" 1 USS 


ot se ЕД ШЕСИ? 





om || sm | 


10， 关 闭 IE， 重 局 浏览 器 ，CA 证 书 即 配置 完成 。 


CA 证 书 的 卸载 


CA 证 书 的 卸载 的 通 第 有 两 种 方式 ， 第 一 种 方式 在 上 一 草 节 CA 人 证书 安装 中 的 第 6 步 ， 找 到 需要 
印 载 的 证 书 ， 点 击 【 删 除 】 即 可 。 我 们 这 里 主要 描述 第 二 种 删除 方式 ， 主 要 是 为 了 解决 在 第 
一 种 方式 的 基础 上 删除 按钮 失效 或 者 证 书 列表 里 看 不 到 的 证 书 也 一 起 删除 的 方法 。 


1， 首 先 ， 我 们 打开 cmd ， 输 入 mmc， 或 者 你 在 运行 输入 框 里 直接 输入 mmc 回 车 ， 会 弹出 管 
理 控制 台 ° 


第 四 章 SSL 和 Proxy 高 级 选项 
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此 视图 中 没有 可 显示 的 项 目 。 





2. 点击 【文件 】 菜 单 ， 打 开 【 添 加 /删除 管理 单元 】 


p See = [EPP E T 


[al 文件 ( ] tma) ZEV) ”收藏 只 (0O) BOW) ”帮助 (H) 












& 新 建 (N) Ctrl+N 

c mmo. Ctrl+O 
(5) Ctrl+S 
另存 为 (A).. | 此 视图 中 没有 可 星 直 前 项 目 ， 
添加 / 制 除 管理 单元 (M).. C+M | 
选项 (P).. 
1 CA\Windows\...\compmgmt.msc 
2 C:\Windows\system32\secpol.msc 
3 C:A\Windows\system32\gpedit.msc 
4 CAWIndowsV..MNusrmgr.msc 
退出 [0 

使 如 能 在 管理 — TE - sz = 或 删除 管理 w TS 3 





3， 找 到 证 书 ， 如 下 图 1， 点 击 【 添 加】 按钮 ， 如 下 图 2 
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Шо UNE coUa дааш HTS ESBS: Saas А 
BHEE КЕШП о 


可 用 的 官 理 单元 (5): PA es 82 or, (Е): 
BEHAT 世 应 丙 ш ЕЕ ЫЕ I ШО)... 


i mia Window... Microsoft ... ЕКЕ ГЕЛ 
a HSH Microsoft ... 
eee Microsoft ... 
(任务 计划 程序 Microsoft ... E38 (U) 
= ee Bless Microsoft ... T38 (n) 
fal ія Microsoft ... 
EU ГЕ Microsoft ... 
+ Microsoft ... 

Microsoft ... 


EY l Micrasoft ... 
p 1: ЕТЕУ 3826 — Microsoft... 
a {Е Microsoft ... 


WEES a al OR). — АЕ AAEE pias о 





4. 在 弹出 的 对 话 框 中 默认 选中 【我 当前 的 用 户 】， 点 击 【 完 成 】】， 一 直到 结束 ， 这 是 会 在 
控制 台 跟 节点 下 多 了 一 个 证 书 的 节点 。 


am 控制 台 1 - [控制 台 模 节点 | 
文件 (月 ”操作 (A) SEV) ”收藏 夫 (O) BOW) #EBh(H) 
€ e 191518 
Г 控制 台 根 节点 | ER 
2 Gp 证 节 - 当前 用 广 QUES - 当前 用 户 
i 个 人 
G 受信 任 的 根 证 书 颁发 机 机 
企业 信任 
让 级 证 书 颁 点 机 构 
Active Directory APF 
‚ГО 受信 任 的 发 布 者 
不 信任 的 证 书 
第 三 方 根 证 书 颁 上 友 机 构 
‚О 受信 任 人 
‚унд 
| 证 书 注册 申请 
智能 卡 受 信任 的 根 























5， 打 开 CA 证 书 所 在 的 位 置 ， 选 择 删除 即 可 。 


[B хен SFA BBM 收藏 天 (O) BOW WO) 

|e» 20 4 IXE 1 88 

БСЧ | алза - gum кини 
| falDO NOT TRUST FiddlerRoot DO NOT TRUST FiddlerRoot 2025/4/9 


d 证 书 - 当前 用 户 
4 [3 ^^ 
mil. 
4 (3 = ИННИ 


E Active Directory 用 户 对 象 
1 受信 任 的 发 布 者 
国 | 不 信任 的 证 书 
4 D Ш-НА 
ts 
ГА 妥 信 任 人 
4 O ИВА 
E 证 书 
O 证 书 注 册 币 请 
O | a= al Sak 





这 时 ， 你 再 返回 到 IE 浏览 器 的 证 书 列表 里 ， 则 不 会 再 看 到 被 删除 的 证 书 了 。 
除了 IE 之 外 ， 其 他 的 浏览 器 如 FireFox、Chrome、Sarifa 等 都 证 书 的 安装 和 印 载 基本 类 似 ， 
作 时 可 以 以 |E 的 CA 证 书 安装 作为 参考 。 


Proxy і % 3X à 


s 启动 Burp Suite > RUAK A m BABE 6808038 € ° Ek yk, Pb o Asp УД ДЕ PE 

人 监听 的 基础 上 ， 根 据 我 们 自己 的 需求 ， 对 监听 端口 和 地 址 等 参数 进行 自由 设置 。 特 别 是 当 
m 测试 非 浏 览 器 应 用 时 ， 无 法 使 用 浏览 器 代理 的 方式 去 拦截 客户 端 与 服务 器 端 通信 的 数据 
流量 ， 这 种 情况 下 ， 我 们 会 使 用 自己 的 Proxy 监 听 设 置 ， 而 不 会 使 用 默认 设置 


e Proxy 监 听 设 置 


[ intercept | HTTP history | WebSockets history | HTTP history | WebSockets history Options | 


| 
(2) Proxy Listeners 





(ә) Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one ofthe listeners as its proxy server. 





Add | Running | Interface | Invisible | Redirect | Certificate 
Edit 
Remove - > 





Each installation of Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL connections. You can import or export this certificate for use in other tools or another installation of Burp. 


— 
当 我 们 在 实际 使 用 中 ， 可 能 需要 同时 测试 不 同 的 应 用 程序 时 ， 我 们 可 以 通过 设置 不 同 的 代理 
端口 ， 来 区 分 不 同 的 应 用 程序 ，Proxy 监 听 即 提供 这 样 的 功能 设置 。 点 击 图 中 的 【Addj】 按 
钮 ， 会 弹出 Proxy 监 听 设 置 对 话 框 ， 里 面 有 更 丰富 的 设置 ， 满 足 我 们 不 同 的 测试 需求 。 

Edit proxy listener Ti 一 

IET 


[2 | These settings control how Burp binds the proxy listener. 


Bind to port 8080 


Bind to address: ( ) Loopback only 
(_) All interfaces 


(ж) Specific address: | 127.0.0.1 





Proxy 监 听 设 置 主 要 包含 3 块 功能 


1. 3% vu FPR x 7% A Binding 2 99 3% о рогі 48 Вигр Proxy 代 理 服务 监听 的 端口 ， 绑 定 |P 
地 址 分 仅 本 地 回路 、 所 有 接口 、 指 定 地 址 三 种 模式 ， 在 渗透 测试 中 ， 无 论 你 选择 哪 种 模 
式 ， 你 需要 明白 一 点 ， 当 你 选择 的 非 本 地 回路 |P 地 址 时 ， 同 局 域 网 内 的 其 他 电脑 也 可 以 
访问 你 的 监听 地 址 。 


2. 请 с eaten T 请 求 处 理 主 要 是 用 来 控制 接受 到 Burp Proxy 3s % 35 v! AY TH Ж. 
， 如果 对 请 求 进行 处 理 的 。 


Edit proxy listener 


Binding | Request handling handling | Certificate 


| 3 | These settings control whether Burp redirects requests received by this listener. 


Redirect ta hast | | 





























Redirect to port: 


|_| Force use of SSL 


Invisible proxy support allows non-proxy-aware clients to connect directly to the listener. 


|_| Support invisible proxying (enable only if needed) 


| OK K Cancel | 





其 具体 配置 可 分 为 : 端口 的 转发 、 主 机 名 /域名 的 转发 、 强 制 使 用 SSL 和 隐形 代理 4 个 部 
分 。 当 我 们 配置 了 端口 的 转发 时 ， 所 有 的 请 求 都 会 被 转发 到 这 个 端口 上 ; 如 果 我 们 配置 
了 主机 аќ 的 转发 ， 则 所 有 的 请 求 会 转发 到 指定 的 主机 或 域名 上 。 同 时 ， 我 们 可 以 指 
定 ， 通 过 Burp Proxy 的 消息 是 否 强制 使 用 SSL， 如 果 设 置 了 此 项 ， 则 请 求 若 是 http 协 议 ° 
经 Burp proxy 代 理 后 将 转换 为 https 协 议 。 隐 形 代 理 主要 是 用 于 测试 富 客 户 端 应 用 或 者 是 
非 浏 览 器 代理 方式 的 应 用 ， 当 我 们 设置 了 它 ,访问 这 些 应 用 时 ， 将 通过 非 代 理 的 方式 ， 直 
接连 接 Burp Proxy 的 监听 端口 。 


3. SSL 证 书 这 些 设 置 控制 呈现 给 SSL 容 户 端的 服务 器 SSL 证 书 。 — a 
出 现 的 一 些 SSL 问 题 : 1. 您 可 以 消除 您 的 浏览 器 的 SSL 警 报 ， 并 需要 建立 SSL 例 外 。 
中 ， 网 页 加 载 来 自 其 他 域 的 SSL 保 护 的 项 目 ， 可 以 确保 这 些 正确 的 加 载 到 浏览 器 ， 而 不 需 
要 为 每 个 域 手动 接受 代理 的 SSL 证 书 。 2. 可 以 与 该 拒绝 无 效 的 SSL 证 书 连接 到 服务 器 胖 客 
户 机 应 用 程序 的 工作 。 它 有 下 列 选项 可 供 设置 : 


4. 使 用 自 签 名 证 书 (Use a self-signed certificate ) 一 ”一 个 简单 的 自 签 名 SSL 证 书 呈 现 
给 您 的 浏览 器 ， 它 总 是 会 导致 SSL 人 警告 。 
5. LARA HORE iE-B (Generate CA-signed per-host certificates ) 这 是 上 默认 
选项 。 在 安装 时 ，Burp 创 造 了 一 个 独特 的 自 签名 的 证 书 颁 发 机 构 (CA) 证 书 ， 并 将 此 计 
算 机 上 使 用 。 当 你 的 浏览 器 发 出 的 SSL 连 接 指 定 主机 ，Burp 生 成 该 主机 的 SSL 人 证书， 由 
CA 人 证 书签 名 。 您 可 以 安装 Burp 的 CA 证 书 作为 浏览 器 中 的 受信 任 的 根 ， 从 而 使 每 个 主机 证 
书 没有 任何 警报 接受 。 





6， 生 成 与 特定 的 主机 名 CA 签发 的 证 书 (Generate a CA-signed certificate with a specific 
hostname ) 一 一 -是 类 似 于 前 面 的 选项 ;不 同 的 是 ，Burp 会 生成 一 个 主机 证 书 与 每 一 个 
SSL 连 接 使 用 ， 使 用 指定 的 主机 名 。 

T. 使 用 上 自 定义 证 书 (Use a custom certificate) 一 一 此 选项 可 以 加 载 一 个 特定 的 证 书 (在 
РКС # 1265) 呈现 给 浏览 器 。 如 果 应 用 程序 а ( 例 
如 ， 与 给 定 的 序列 号 或 证 书 链 ) 的 客户 端 应 该 使 用 这 个 选项 。 


SSL 直 连 和 隐形 代理 


SSL 直 连 的 设置 主要 用 于 指定 的 目的 服务 器 直接 通过 SSL 连 接 ， 而 通过 这 些 连接 的 请 求 或 响应 
任何 细节 将 在 Burp 代 理 拦截 视图 或 历史 日 志 中 可 见 。 通 过 SSL 连 接 传递 可 以 并 不 是 简 ir 
pp auti TRA) TE 2U F A ЛД] ° ЮЗ 0 > ZEA AT SSL TE + UIS EH) ° +o Re Л] 42 FF 

多 个 域 ， 或 使 用 HTTP 和 HTTPS 连 接 的 混合 ， 然 后 通过 SSL 连 接 到 特定 的 主机 问题 仍 “н 
s: 以 正常 的 方式 使 用 Burp 的 其 他 方式 进行 通信 。 如 果 启 用 自动 添加 客户 端 SSL 协 商 失 败 的 
选项 ， 当 客户 端 BEEN (例如 ， 由 于 不 承认 Burp 的 CA 证书) ， 并 会 自动 将 相关 
的 服务 器 添加 到 SSL 直 通通 过 列表 中 去 。 其 设置 界面 如 下 图 所 示 : 


r1 ? | SSL Pass Through 


G T These settings are used to specify destination web servers for which Burp will directly pass through SSL connections. No details about requests or responses made via these connections will be available in the Proxy intercept view or 
J 
history. 


Add Enabled Host/ IP range Port 





Edit 
Remove > 


Paste URL 





Load... 





(Vj Automatically add entries on client SSL negotiation failure 


有 时 候 ， 在 拦截 富 客 户 端 软件 时 ， 我 们 通 第 需要 使 用 隐形 代理 。 富 客户 端 软 件 通 第 是 指 运行 
在 浏览 器 之 外 的 客户 端 软件 ， 这 就 意味 着 它 本 身 不 具有 HTTP 代 理 是 属性 。 当 它 进 行 网 络 通 信 
时 ， 客 户 端 将 无 法 使 代理 感知 或 者 无 法 由 代理 进行 通信 。 在 Burp 中 ， 我 们 可 以 使 用 隐形 代理 
的 方式 ， 对 通信 内 容 进 行 代理 或 拦截 ， 从 而 对 通信 的 请 求 和 响应 消息 进行 分 析 。 使 用 隐形 代 
理 通 党 需要 做 如 下 设置 (以 https://example.com 为 例 ) : 1. 配 置 hosts 文 件 ，Windows 操 作 系 
统 下 的 目录 位 置 Windows/System32/drivers/etc/hosts， 而 Linux 或 者 Unix 下 的 目录 

为 /etc/hosts， 添 加 如 下 行 


127.0.0.1 ехатр1е.сот 


2. 第 一 步 设 置 完 成 之 后 ， 我 们 需要 添加 一 个 新 的 监听 来 运行 在 HTTP 默 认 的 80 端 口 ， 如 果 通 信 
流量 使 用 HTTPS 协 议 ， 则 端口 为 443 ° 
Edit proxy listener 


| Binding Request handling | Certificate 


[2 These settings control how Burp binds the proxy listener. 


Bind to port 80| 


Bind to address: С) Loopback only 
C) All interfaces 


@ Specific address: | 127.0.0.1 B 





3. 如 果 是 HTTPS 协 议 的 通信 方式 ， 我 们 需要 一 个 指定 域名 的 CA 证 书 。 


E Edit proxy llstner a 


Binding | Request handling 


[2 | These settings control the server SSL certificate that is presented to SSL clients. 


(.) Use a self-signed certificate 
(D Generate CA-signed per-host certificates 


(ж) Generate a CA-signed certificate with a specific hostname: 


example.com| 


O Use a custom certificate (PKCS#12): 


File: 





. = 

4. 接 着 ， 我 们 需要 把 Burp 拦 截 的 流量 转发 给 原始 请 求 的 服务 器 。 这 需要 在 Options- 
>Connections->Hostname Resolution 进行 设置 。 因 为 我 们 已 经 告诉 了 操作 系统 ， 
example.com 的 监听 地 址 在 127.0.0.1 上 ， 所 以 我 们 必须 告诉 Burp， 将 example.com 的 流量 转 
发 到 真实 的 服务 器 那里 去 。 


Hostname Resolution 


> 
m Add entries here to override your computers ONS resolution. 


Add Enabled | Hosiname À |P address 
[v| example.com 167.2.3.45 


| E dit | 
| Remove | 





通过 这 样 的 配置 ， 我 们 就 可 以 炊 骗 富 客户 端 软件 ， 将 流量 发 送 到 Burp 监 听 的 端口 上 ， 再 由 
Вир it За A 4 J SE MUR AERE 。 


第 五 草 如 何 使 用 Burp Target 


Burp Target 组 件 主要 包含 站 点 地 图 、 目 标 域 、Target 工具 三 部 分 组 成 ， 他 们 帮助 渗透 测试 人 
员 更 好 地 了 解 目 标 应 用 的 整体 状况 、 当 前 的 工作 涉及 哪些 目标 域 、 分 析 可 能 存在 的 攻击 面 等 
信息 ， 下 面 我 们 就 分 别 来 看 看 Burp Target 的 三 个 组 成 部 分 。 


本 章 的 主要 内 容 有 : 


° 目标 域 设 置 Target Scope 
e 站 点 地 图 Site Map 
e Target 工具 的 使 用 


目标 域 设 置 Target Scope 


Target Scope 中 作用 域 的 定义 比较 宽泛 ， 通 第 来 说 ， 当 我 们 对 茶 个 产品 进行 渗透 测试 时 ， 可 以 
通过 域名 或 者 主机 名 去 限制 拦截 内 容 ， 这 里 域名 或 主机 名 就 是 我 们 说 的 作用 域 ; 如 果 我 们 想 
限制 得 更 为 细 粒 度 化 ， 比 如 ， 你 只 想 拦 截 login 目 录 下 的 所 有 请 求 ， 这 时 我 们 也 可 以 在 此 设 
置 ， 此 时 ， 作 用 域 就 是 目录 。 总 体 来 说 ，Target Scope 主 要 使 用 于 下 面 几 种 场景 中 : 


° 限制 站 点 地 图 和 Proxy 历史 中 的 显示 结果 

e 告诉 Burp Proxy 拦截 哪些 请 求 

e Burp Spider XX m X N zx 

e Burp Scanner 自 动 扫描 哪些 作用 域 的 安全 漏洞 
e 在 Burp Intruder 和 Burp Repeater 中 指定 URL 


ii Target Scope 我 们 能 方便 地 控制 Burp 的 拦截 范围 、 操 作对 人 象 ， 减 少 无 效 的 噪音 。 在 
Target Scope 的 设置 中 ， 主 要 包含 两 部 分 功能 : 允许 规则 和 去 除 规则 。 


[Ste rap Га 





FI Target Scope 


Ur Define the in-scope targets for your current work. This configuration affects the behavior of tools throughout the suite. All fields take regex strings. The easiest wa 
exclude URL paths. 


Include in scope 


| Add | Enabled | Protocol | Host / IP range | Port | File 


| Remove | 
| Paste URL | 


Load ... 


Enabled | Protocol | Host / IP range 


| Remove | 

| Paste URL | 

| Load ... | 
其 中 允许 规则 顾名思义 ， 即 包含 在 此 规则 列表 中 的 ， 视 为 操作 允许 、 有 效 。 如 果 此 规则 用 于 
拦截 ， 则 请 求 消息 匹配 包含 规则 列表 中 的 将 会 被 拦截 ; 反之 ， 请 求 消息 匹配 去 除 列表 中 的 将 








Add URL to include in scope = ES 


[?| specify a regular expression to match each URL component, or leave blank 
: to match any item. &n IP range can be specified instead of a hostname. 


Protocol: 
Host or IP range: 
Port: 


File: 


| Paste URL | 


FARA o L J 从 上 图 的 添加 
规则 对 话 框 中 我 们 可 以 看 出 ， 规 则 主要 由 协议 、 域 名 或 PP 地址、 端口 、 文 件 名 4 个 部 分 组 成 ， 
这 就 意味 着 我 们 可 以 从 协议 、 域 名 或 IP 地 址 、 端 口 、 文 件 名 4 个 维度 去 控制 哪些 消息 出 现在 允 
许 或 去 除 在 规则 列表 中 。 


置 了 Target Scope (默认 全 部 为 允许 ) ， 使 用 Burp Proxy 进 和 
= 代 JE Я] W, 应 
保存 在 Target 站 点 地 图 中 。 





了 代理 拦截 ， 在 渗透 测 


应 用 时 ，Burp 会 自动 将 浏览 信息 记录 下 来 ， 包 含 每 一 个 请 求 和 应 答 


站 点 地 图 Site Map 


下 图 所 示 站 点 


地 图 为 一 


次 渗透 测试 中 ， 通 过 浏览 器 浏览 





Вир TUA „Барада Window Help 


Tags [Pron [знан | comer | muser [Repeater | sequencer [Decoder | comparer [ееп [оре [лел | | 











= Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 


102) 








> http'//clienttshow.qq.com 

> http://download.macromedia.com 

> http//fpdownload2.macromedia.com 
> http://miserupdate.aliyun.com 

> http/Aj5.3lsoft.com 











D/ 
D) aktuelles_e.html 
DO anfahrt_e.html 
D) anfrage_e.html 
D anfrage service e.html 
D) einzelkomponenten e.html 
D) entwicklung e.html 
D) ersatzteil e.html 
D) ersatzteile e.html 
D) impressum  e.html 
D) index1.html 
D) index. c.html 
[3 index e.html 
D jobs. e.html 
D kontakt. e.html 
D) module e.html 
Y & pic 
D abstand.gif 
v [- flash 
D english.gif 
[3 german.gif 
C) hg. index1.gif 
[3 hg. oben.gif 
[ hg. unten.gif 
[3 logo.gif 
[3 ol.gif 
[3 or.gif 
C) ul.gif 
L3 ur.gif 
D) service e.html 
DY text.css 
D) vertretungen. e.html 
> http.//www.w3.org 











Host | Method | URL | Params | Status ^ | Length | MIME type | Title Comment | Time reque. | 
| http:/Awww.kuwo.com GET lindex e.html LJ 200 11732 HTML Kupke + Wolf GmbH h... 15:59:26 29 A 
http-//www.kuwo.com Ipic/abstand.gif GJ :59: 
http://www.kuwo.com GET Ipic/flash/english.gif CJ 304 180 15:59:20 29 
| http//www.kuwo.com GET /picflash/german.gif 加 | 304 180 15:59:20 29 
| httpvAwww.kuwo.com GET /picflash/hg_index1.gif Í J 304 181 15:59:20 29 
hitp/Awww.kuwo.com GET /picflash/hg_oben.gif Ы 304 180 15:59:20 29 
http://www.kuwo.com GET /picflash/hg_unten.gif GJ 304 180 15:59:20 29 
Jiwww.kuwo.com GET Inic/flash/loao.aif m 304 181 15:59; M 











HTTP/1.1 304 Not Modified 

Date: Tue, 29 Mar 2016 08:01:25 GMT 
Server: Apache 

Proxy-Connection: Keep-Alive 
Keep-Alive: timeout=2, max- 1000 
ETag: "6f80b5e-1335-4f35029cO0fSbb" 
Vary: Accept-Encoding 


М 





0 matches 








? < is > Туре a search term 
= __ = 





从 图 中 我 们 可 以 看 出 ，Site Map 的 左边 为 访问 的 URL， 按 照 网 站 的 层 


层级 和 深度 ， 树 形 展 示 整 


个 应 用 系统 的 结构 和 关联 其 他 域 的 Url 情况 ; 右边 显示 的 是 某 一 个 url 被 访问 的 明细 列表 ， 共 访 


问 哪些 url， 请 求 和 应 答 内 容 分 


义 选 择 某 个 分 支 ， 对 指 


， 都 有 着 详实 的 记录 。 基于 左边 的 树 形 结构 ， 我 们 可 


3 描 和 抓 取 。 


别 是 什么 
定 的 路 径 进 生 


第 五 章 如 何 使 用 Burp Target 


Burp Suite Professional v1.6beta - licensed to LarryLau 


Burp Intruder Repeater Window Help 








http-//music.baidu.com 
http-//(news.baidu.com 
http-//qingting.baidu.com 
http-//tieba.baidu.com 
http-//tj5.3Ilsoft.com 
http-//update.pan.baidu.com 
http-//v.baidu.com 

http wenku.baidu.com 

http www.baidu.com 














— W Y Y F Y Y Y Y Y 


[3 / 
[| aktuelles e.ht 
ү anfahrt. e.html 


| Add to scope 
Spider this host 


http-/www.kuwoa.com/ 


Host Method | URL 
http-/www.kuwa.com GET index e.html 
http-/www.kuwa.com GET Ipiclabstand. gif 
http-/www.kuwa.com GET Ipiciflash/english.qgif 


http-/www.kuwa.com GET 
http-/www.kuwa.com GET 
http-/www.kuwa.com GET 
ito MAW kuwo com GET 

com GET 




















O anfrage e.htmi| Actively scan this host rs | Hex | 
ү anfrage serica Passively scan this host | 

ЕЕ NA RENS IO MEME — Mot Moditied 
L] einzelkomponel Engagement tools » 





[ entwicklung. &. 
ү ersatzteil e.htm 
ү ersatzteile e.ht 
[] impressum е. 


Expand branch 





C index1.html Collapse branch 

C index c.html Delete host 

C index_e.html Copy URLs in this host 
Ci jobs e&.html Copy links in this host 


у kontakt. e.html 
[] module e.html [Г 

Y Е pic 
[ abstand.gif 





Site map help - 


Compare site maps 


Expand requested items 







Save selected items 


ar 2016 08:01:25 GMT 








lon: Keep-Alive 

eout- 2, max- 1000 

-1335-4f35029cüf5bb" 
coding 







同时 ， 我 们 也 可 以 将 某 个 域 直接 加 入 Target Scope Y. 


Ipiciflash/german.qgif 
Ipiciflash/hg index1.gif 
Ipiciflash/(hg aben.gif 
Ipiciflash/hg unten.gif 
Ipiciflash/laao.aif 


Filter. Hiding nat found items; hiding CSS. image and general binary content; hiding 4xx responses; hiding empty folders 


ZA. m 


| Params | Status a | Length 


UP) DEI D) 


200 


304 
304 
304 
304 
304 
304 
304 


11732 
180 
180 
180 
181 
180 
180 
181 
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Burp Intruder Repeater Window Help 

















Scanner 


| Spider 


Intruder 





Options 





[эге тар [sor | 


Filter. Hiding not found items; hiding CSS. 














image and general binary content hiding 4xx responses; hiding empty folders 



































r (n ë | Host йы = | Params | Status 4 | Length | MME 
+ http.//news.baidu.com TEF z BEL indek ehm ^ 200 417332 H 
Ee http://www.kuwo.com GET | 304 zT 
егар PCT http://www.kuwo.com СЕТ Ipic/abstand.gif С] 204 180 
en http:iwww.kuwo.com СЕТ jipicfiash/english.gif L] 304 180 
RE EMEN EAT http:/fwww.kuwo.com СЕТ ipicflash!german.gif C] 304 180 
е ЕР ШАРЕ http://www.kuwo.com GET  Ipicflash/hg_indext.git [|] 304 181 
‘ sneer http:/Avww.kuwo.com GET ipicflashing_oben.oif (7) 304 180 
=s —s—[ssaamam | | htipA/www.kuwo.com GET Ipiciflash/hg unten.gif 上 -| 304 180 
ы ” | hitpiiwww kuwocom! | puwa kuwo.com GET Ipicflash/loao.aif [1 304 181 

D аК «Add to scope = 

C an| Spider this host Request NN 

D ап Actively scan this host wae Leaders | Hex Render 

- > Passively scan this host P/1.1 200 OK 

Wer em P Fe: Tue, 29 Mar 2016 08:01:32 GMT 

P Compare site maps er: Apache 

A 2 Expand branch t-Modified: Wed, 26 Feb 2014 14:38:50 GMT 

Г) im| Expand requested items g: HN лы 

Б in Collapse branch M aaa saq sa 

D ind Delete host tent-Length: 11422 

Dind Copy URLs in this host :p-Alive: timeout- 2, max- 1000 

[D jot Copy links in this host xy-Connection: Keep-Alive 

= is Save selected items tent-Type: text/html 

mi 


Site map help 





ml» 


除了 加 入 Target Scope 外 ， 从 上 图 中 ， 我 们 也 可 以 看 到 ， 对 于 站 点 
党 和 展开 操作 ， 更 好 的 分 析 站 点 结构 。 


地 图 的 分 层 ， 可 以 通过 折 


Target 工具 的 使 用 


Target 工具 的 使 用 的 使 用 主要 包括 以 下 部 分 : 


° 手工 获取 站 点 地 图 
e 站 点 比较 


° 攻击 面 分 析 


当 我 们 手工 获取 站 点 地 图 时 ， 需 要 遵循 以 下 操作 步 虹 
理 ， 并 使 之 能 正常 工作 。 2. 关 闭 Burp Proxy 的 拦截 功能 。3. 手 工 浏览 网 页 ， 这 时 ，Target 会 
自动 记录 站 点 地 图 信息 。 手工 获取 站 点 地 图 的 方式 有 一 个 好 处 就 是 ， 我 们 可 以 根据 自己 的 需 
要 和 分 析 ， 自 主 地 控制 访问 内 容 ， 记 录 的 信息 比较 准确 。 与 自动 抓 取 相 比 ， 则 需要 更 长 的 时 
间 ， 如 果 需 要 渗透 测试 的 产品 系统 是 大 型 的 系统 ， 则 对 于 系统 的 功能 点 依次 操作 一 人 遍 所 需要 
的 精力 和 时 间 对 渗透 测试 人 员 来 说 付出 都 是 很 大 的 。 


1. 设 置 浏览 颈 代 理 和 Burp Proxy 代 


站 点 ви 全 渗透 测试 人 员 对 站 点 进行 动态 分 析 的 利器 ， 我 们 在 比较 帐号 权限 
时 经 第 使 用 到 它 。 当 我 们 登陆 应 用 系统 ， 使 用 不 同 的 帐号 ， 帐 号 本 身 在 应 用 系统 中 被 赋予 了 
不 同 的 权限 ， 那 么 帐号 所 能 访问 的 功能 模块 、 内 容 、 参 数 等 都 是 不 尽 相 同 的 ， 此 时 使 用 站 点 


比较 ， 能 很 好 的 帮助 渗透 测试 人 员 区 分 出 来 。 一 般 来 说 ， 主 要 有 以 下 3 种 场景 : 1. 同 一 个 帐 
号 ， 具 有 不 同 的 权限 ， 比 较 两 次 请 求 结 果 的 差 开 。 2. 两 个 不 同 的 帐号 ， 具 有 不 同 的 权限 ， 比 
КТА КАЖИ Ж о 3. 两 个 不 同 的 帐号 ， 具 有 相同 的 权限 ， 比 较 两 次 请 求 结果 的 差 措 。 


第 五 章 如 何 使 用 Burp Тагде! 


下 面 我 们 就 一 起 来 看 看 如 何 进行 站 点 比较 。 1. 痛 先 我 们 在 需要 进行 比较 的 功能 链接 上 右 击 ， 
找到 站 点 比较 的 菜单 ， 点 击 菜单 进入 下 一 步 。 


Burp Intruder Repeater Window Help 
Teast | он [эре | scanner [де | Repester | Seavencer | Decoder | comparer | Extender | optons | mens | 


Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 





e http://wubi.baidu.com Contents 
> http://w w w.91.com 
> [| http://www.app111.com 





> | o http//ww w.baidu.com 


















































v& https://www.baidu.com https://w w w.baidu.com GET /v.php?tag=vmpaccessé&... íz 302 663 HTML 302 Found 
» @ / 
Bi vai 
> $ баби] (5 nttps:lwww.baidu.com/v.php 
j c — Remove from scope 
[3] conte — 
š : Spider this branch 
É š duty Actively scan this branch 
> =š gaoji Passively scan this branch um y, 
[ home Send to Intruder 
> [3 homep Send to Repeater 
» ы img Send to Sequencer 上 
"Bis Send to Comparer (request) [ 
8 : Send to Comparer (response) 2e 70 6 70 20 48 54 54 50 2f GETNphpHTTP/ 
[ к Show response in browser 31 0d Oa 48 ef 73 ге а 4 л Т d тов 2 1.1Host: www.b 
> = т=96 Request in browser 64 75 2е 63 6? 6а Od Da 41 63 63 65 70 74 aidu.comAccept 
> [3 more pM Ede 2a 2f 2 Od Oa 41 83 з Бб 70 74 2d « M : *l'Accept-La 
» - noca eau eae 75 61 67 65 3a 20 65 6e Od 0a 55 73 65 72 nguage: enUser 
» 8 г чк msgstr ы 67 65 бе 74 3a 20 4d 6 7a 69 бс бс 61 2 -Agent Mozilla/ 
Г] robots s ° 30 20 28 6 6f 6d 70 61 74 69 62 бс 65 3b 50 (compatible; 
"gs qut d з 49 45 20 39 2e 30 3b 20 57 69 бе 64 б MSIE 9.0; Windo 
> [3 searc Delete item B 20 4e 54 20 3 2e 31 3b 20 57 69 бе 36 34 wsNT6.1;Win64 
> D shifen Copy URLs in this branch Ü 78 3565 34 3b 20 ы 72 69 64 6 бе 74 Ж 35 = ; x64; Trident/S 
GB тат: Copy links in this branch Ü 2 Od да 43 6 бе бе 65 63 74 69 6f бе За .0Connection: 
[) ulink Copy as curl command B 6c ef 73 65 Od Oa 43 ef ef 6b 69 6 За 20 closeCookie: 
> [3 ups Save selected items Sf 4c y з 54 5 51 49 4 3d 31 31 34 31 BD_LAST_QID=1141 
Issues » E 30 233 3 33 33 3 31 33 36 33 35 з 30 237  9293733313635107 
View ph 42 44 Sf 48 4f 4d 4 з 3 3b 20 42 44 5f ; BD_HOME=0; BD_ y 
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2. 由 于 站 点 比较 是 在 两 个 站 点 地 图 之 间 进 行 的 ， 所 以 我 们 在 配置 过 程 中 需要 分 别 指定 Site Map 
1 和 Site Map2。 通 常情 况 下 ，Site Map 1 我 们 默认 为 当前 会 话 。 如 图 所 示 ， 点 击 [Next] ° 


— T0 — =o x 











Compare site maps 


(2) Site Map 1 


Select the source to use for this site map. 


= Use current site map 





| С) Load from Burp state file 


bw | 
Cancel Next 


们 选中 的 功能 ， 则 选择 第 二 项 。 如 下 图 ， 点 击 【Next】。 如 果 全 站 点 比较 ， 且 不 想 加 载 其 他 
域 时 ， 我 们 可 以 勾 选 只 选择 当前 域 。 





第 五 章 如 何 使 用 Burp Target 


Compare site maps 


(2) Site Map 1 


Specify the items to include in this site map. If you want to re-request the site map in a different session context, you should restrict to in-scope items and also ensure that the defined scope 
excludes any requests that modify that context, including login and logout. 


С) Use all items with responses 
~> © Use only selected branches 


口 Include in-scope items only 








经 保存 下 来 的 Burp Suite 站 点 记录 ， 第 二 种 是 重新 发 生 一 次 请 求 作 为 Site Map2. 这 里 ， 我 们 选 
择 第 二 种 方式 。 


Compare site maps 


| (2) Site Map 2 
, 


Select the source to use for this site map. 


С) Load from Burp state file 


—*» @ Request map 1 again in a different session context (configured in Options / Sessions) 
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5. 如 果 上 一 步 选 择 了 第 二 种 方式 ， 则 进入 请 求 消息 设置 界面 。 在 这 个 界面 ， 我 们 需要 指定 通信 
的 并 发 线程 数 、 失 败 重 试 次 数 、 暂 停 的 间隙 时 间 。 


Compare site maps 











— — — 5|. ай 


(2) Site Map 2 


Specify the options for re-requesting the site map. Ensure you have configured suitable session handling rules for the target tool, in Options / Sessions. These rules will be applied to 
requests when re-requesting the site map. 


Number of threads: 5 
Number of retries on network failure: 3 


| Pause before retry (milliseconds): 2000 








| Back | Next 
6. 设 置 完 Site Map 1 和 Site Map 2 之 后 ， 将 进入 请 求 消息 匹配 设置 。 在 这 个 界面 ， 我 们 可 以 通 
过 URL 文 件 路 径 、Http 请 求 方式 、 请 求 参数 、 请 求 头 、 请 求 Body 来 对 匹配 条 件 进行 过 滤 。 


第 五 章 如 何 使 用 Burp Target 


E Compare site maps 


(2) Request Matching 


Select the items on the basis of which Burp will match individual requests in one site map with requests in the other site map. The default settings will work effectively for most situations. 





(Z) URL file path (required) 
(Z) HTTP method 
(Z) URL query string 
(Z) Match parameter names only 


口 Ignore these parameters: 


(Z) Request body 
(Z) Match parameter names only 


(Z) Ignore these parameters: 


t, eventvalidation, — viewstate 


DD Request headers 


4j Ignore these headers: 


cookie, referer, user-agent 

















我 们 指定 需要 进行 比较 的 。 从 下 图 我 们 可 以 看 出 ， 主 要 有 响应 头 、form 表 单 域 、 空 格 、MIME 
KA o RA [Next] ° 
E: Compare site maps 


(2) Response Comparison 


Configure the options below to determine how Burp handles certain features of responses when performing comparisons. 





Response headers 
@ Include headers 


(Z) Except for: ite, etag, expires, last-modified ... 
© Exclude headers 


@ Except for: | tent-location, location, set-cookie 


Form field values 


© Include form field values 


(Z) Except for: t,  eventvalidation, —viewstate | Edit | 
С) Exclude form field values 


O Except for: 


Whitespace 


(Z) Ignore whitespace-only variations 


MIME type 
(Z) Don't compare non-text content 
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8. 如 果 我 们 之 前 是 针对 全 站 进行 比较 ， 且 是 选择 重新 发 生 一 次 作为 Site Map2 的 方式 ， 则 界面 
加 载 过 程 中 会 不 停 提示 你 数据 加 载 的 进度 ， 如 果 涉 及 功能 请 求 的 链接 较 少 ， 则 很 快 进入 比较 
界面 。 如 下 图 。 


Compare site maps 














= [|= |= >= 


Мар 1 


Ee [Menos | URL ii| [= asss. 
| maw Headers | нес яти. еме 


_2_0301_C011_N_I_I_0; expires=Thu, 
31-Mar-16 12:24:20 GMT; 
domain =www.baidu.com; path =/ 











«IDOCTYPE HTML PUBLIC 
-//ETF//DTD HTML 2.0//EN "> 
«html» «head» 

«title» 302 Found«/title» 
«/head» «body» 

| <h1>Found</h1> 


| ES (<) |.) L >| Туре esearch 5 highlights 


























^ | | Request | Response ] 
шш >= [= [ma [ee | 


31-Mar-16 13:27:02 GMT; 
domain =www.baidu.com; path =/ 


<!DOCTYPE HTML PUBLIC 


" SATE SINTON CITA 41 DAS SRIF. 


2. C жыз L >| Туре а search | 5 highlights ' 























| Change options | | Close | 
I] > SUA RA) ， 下 部 由 左 、 中 、 右 三 块 构成 。 左 边 为 请 求 的 链接 列表 ， 中 间 为 Site 
Map 1 和 Site Map 2 的 消息 记录 ， 右 边 为 消息 详细 信息 。 当 我 们 选择 Site Map 1 茶 条 消息 记录 
时 ， 上 默认 会 自动 选择 Site Мар 2 与 之 对 应 的 记录 ， 这 是 有 右上 角 的 【同步 选择 】 义 选 框 控制 
的 ， 同 时 ， 在 右边 的 消息 详细 区 域 ， 会 自动 展示 Site Map 1 与 Site Map 2 通信 消息 的 差异 ， 包 
含 请 求 消息 和 应 答 消 息 ， 存 在 差异 的 地 方 用 底 色 标注 出 来 。 
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A 


3k 如 何 使 用 Burp Target 


k Compare site maps 


2 0301 C011 №110; expires=Thu, 


31-Mar-16 12:24:20 GMT; 


请 求 链接 区 域 domain =www.baidu.com; path =/ 


3 Ba: : | <!DOCTYPE HTML PUBLIC 
消息 记录 区 域 "-//IETF//DTD HTML 2.0//EN "> 
«html» «head» 
«title» 302 Found«/title» 
«/head» «body» 
«h1»Found«/h1» 


(2) Ls] +) (>) pessera | ERN 
消息 详细 区 域 











domain con, aut =/ 


«IDOCTYPE HTML PUBLIC 


° ттт г тут ГМ (та 4! An as. 











攻击 面 分 析 是 Burp Suite 交互 工具 (Engagement tools) 中 的 功能 ， 这 里 我 们 先 看 看 Analyze 
Target 使 用 ， 其 他 的 功能 会 在 高 级 使 用 相关 章节 讲述 。 1. 首先， 我 们 通过 站 点 地 图 ， 打 开 


Analyze Target， 如 图 所 示 。 
E Burp Suite Professional v1.6:27 “licensed to Larry Lau "НЕ es m 


Burp Intruder Repeater Window Help 
[тизе | Pross | знан | scanner [ser [Repeater | Seavencer | secos | conparer [extender [ ors | mens | 
(Steman | score | 


Filter: Hiding not found items; hiding CSS, image and general binary content, hiding 4xx responses; hiding empty folders 











| 

































































































> http://weirenwu.baidu.com Contents Issues 
> maa Host Method URL Params [n Length MIME type Title 
> http://wubi.baidu.com 
> http://www .91.com Ü g 
Ë a сип https://www w.baidu.com СЕТ /?tn-79081068 1 oem dg Ы 200 101641 HTML СКЕ а «Ила = ) 
> [Ë htp:ywww.baidu.com https://ww w.baidu.com GET Ibaidu.html О 200 22087 HTML тата, а ‹ТИжа# rim 
EU https://w w w.baidu.com GET /baidu.html? from=noscript (Z) 200 22088 HTML De —— Et. 
» @ / аг https:/www.baidu.com/ .baidu.com GET Icache/ О 200 7868 HTML Se 
š Tay oD ЕЕЕ .baidu.com GET Icache/sethelp/ Ü 200 40997 HTML КГА А 
.baidu.com GET Icache/sethelp/help.html OQ 200 41931 HTML 2559944708744 04 wéi... 
-— NE baid GET Icache/sethelp/xml/baid 200 1165 — XML 
" A ade оаа i " u.com cache/sethelp/xm z "| 
В SEXI { .baidu.com GET Icache/sethelp/xml/baidui... О 200 1013 XML Е 
срго — —— ———-—— - 
» - duty Engagement tools Search ¿= 
Ë = gaoji Compare site maps Find comments 
Ü home Expand branch Find scripts i 
> = home; Expand requested items Find references = 
Ë = img Collapse branch = 20 48 54 54 50 2f 31 2e 31 Od 0a GET / HTTP/1.1 
[is Delete host Dbcowx conet Ja жк CZECH 77 2e 62 61 69 64 75 2e Host www.baidu. 
= Copy URLs in this host Сары 41 63 63 65 70 74 3a 20 2a 2f 2a comAccept: */* 
D link Copy links in this host —— 65 70 74 2d 4c 61 6e 67 75 61 67 Accept-Languag 
» - m=9f6 сасыр Od 0а 55 73 65 72 24 41 6т 65 бе е: enUser-Agen 
> = mare 74 3a 20 44 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 t: Mozilla/5.0 ( 
» = nocacdi — 53 6f 6d 70 61 74 69 6 6c 65 3b 20 44 53 49 45 compatible; MSIE 
> - г ны 20 39 2е 30 3b 20 57 69 бе 64 б 77 Z3 520 4e 54 9.0; Windows NT 
Ü robots 20 36 2e 31 3b 20 57 69 6e 36 34 3b 20 78 36 34 6.1; Win64; x64 
8 з Site тар һер Bb 20 54 72 69 64 65 бе 74 2f 35 2e 30 29 Od 0a ;Trident50) 
> ш ndn a 43 etf бе бе 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 Connection: clos 
» =š shifen b 65 04 0a 43 6 6f 6b 69 65 За 20 42 44 5f 4c 41 eCookie: BD LA 
- inam Е 53 54 5f 51 49 44 за 31 31 34 31 39 32 39 33 37 ST_QID=114192937 
Ü ulink с d 33 33 33 31 33 36 33 35 31 30 37 3b 20 4 44 59 33313635107; BDY 
as “E e 59 4 44 3d 43 5f 30 2d 44 5f 35 56 4а 44 45 39 YID=C_0-D_SVJDE9 

















2. .在 弹 出 Se RP > ЗЫП 看 到 HX s 2 &URL ^ АОВ 、 参数 4 个 视图 
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Target analyzer | https://www. ди, ae | = w  — Sn 


[?| Number of dynamic URLs: 


Number of static URLS: 
Total number of parameters: 


Number of unique parameter names: 54 
Note: This analysis is based on the current contents of the site map, and no new requests have been made. Only parameters within the query string and 


request body are included in the analysis. URLs identified as "static" are those which do not take any parameters, though their responses may still be 
dynamically generated. 


| Save report | 





ea ee eo ыы Y NIE 

m о dep ipt i diia 动态 URL 视 图 展示 所 有 
态 的 URL 请 求 和 应 答 消 息 ， 跟 其 aa 

а. 

P T Ww ww ë O 
summary | Dymanie URLs 


https www. baidu.com 


Method Params 
а 


https: jw w .baidu.com fjs/bdsug.js 

https ww Баји сот "link 

https iana Баји. com inocache/fesplg/s. gif 
https www. baidu. com is 

https Jnana Баюи com fulink 

https www. baidu. com lups/data/gettips/ 
https ww Баји сот реи тарзу 
https www. baidu. com .gif 

https ww Баји сот ^r.php 


Parameters 


| Server: bfe/1.0.8.14 

(Date:Thu, 31 Mar 2016 12:24:17 GMT 

| Content-Type: text/html 

| Content-Length: 16383 

Connection: close 

|Last-Modified: Fri, 28 Jan 2016 08:52:09 GMT 
ETag: "3fff-52a75267fc0A0" 

|Accept-Ranges: bytes 

|Cache- Control: max- kr us 86400 


v 


0 matches 





5 #5 URL 视 图 与 动态 SURL 视 图 类 似 > 如 图 . 





Target analyzer | https://www. nidu ae І w | K 
ПЕС 


Host à | URL | Status | Length | Time requested 

https:/ ww Баји. com {гїрп/ 302 20:26:33 31 三 日 2016 
https://w w w.baidu.com iripn/nc/ 302 20:28:33 31 = E 2016 
https ww Баји сот irobots.txt 200 20:28:31 31 = B 2016 
https://ww w.baidu.com isearch 302 20:28:26 31 = E 2016 
https www. baidu. com isearch/error.html 200 20:28:76 31 三 日 2016 
https Jana v. baidu. com Ishifen/ 200 : 20:26:32 31 = E 2016 
https://w w Баюи. сот Aam-ogel’ 302 20:28:30 31 三 日 2016 
https /^w'w Баји. сот itam-ogel/ 302 20:26:30 31 = E 2016 


= zl 


lups/ B | M * >= ЕГ: 20:28:26 31 = E 2016 


https://w w w.baidu.com lups/data/ 20:28:31 31 = B 2016 
https www. Баюи сот lups/submit/ | 20:28:26 31 三 日 2016 


| Request | Response | 
= 


GET /tam-ogel/76998af/-839d-4378-bb54-0ee463326987 js HTTP/1.1 

Host www.baidu.com 

Accept: */* 
| Accept-Langu age: en 
(User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) 
| Connection: close 


Ü matches 


6. 参 数 视图 有 上 中 下 三 部 分 组 成 ， 上 部 为 参数 和 参数 计数 统计 区 ， 你 可 以 通过 参数 使 用 的 次 数 
进行 排序 ， 对 使 用 频繁 的 参数 进行 分 析 ; 中 部 为 参数 对 于 的 使 用 情况 列表 ， 记 录 对 于 的 参数 
每 一 次 的 使 用 记录 ; 下 部 为 茶 一 次 使 用 过 程 中 ， 请 求 消息 和 应 答 消息 的 详细 信息 。 

rt. Er ys арр. с НГ Á. W w = m 


Dynamic URLs | Static URLs | Parameters | 


Name À | Number of URLs 





1 


Method Params | Value [product] 


Accept: */* 
| Accept-Language: en 


Ü matches. 





在 使 用 攻击 面 分 析 功 能 时 ， 需 要 注意 ， 此 功能 主要 是 针对 站 点 地 图 中 的 请 求 URL 进 行 分 析 ， 
如 果 茶 些 URL 没 有 记录 ， 则 不 会 被 分 析 到 。 同 时 ， 在 实际 使 用 中 ， 存 在 很 点 站 点 使 用 伪 静 
态 ， 如 果 请 求 的 URL 中 不 带 有 参数 ， 则 分 析 时 无 法 区 别 ， 只 能 当做 静态 URL 来 分 析 。 


第 五 章 如 何 使 用 Burp Тагде! 
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第 六 章 如 何 使 用 Burp Spider 


通过 前 一 章 的 学 习 ， 我 们 了 解 到 ， mE Target 中 的 站 点 信息 ， 我 们 可 以 直接 传送 到 
Burp Spider 中 进行 站 点 信息 的 卜 取 。 这 一 草 我 们 重点 来 学 习 Burp Spider 的 使 用 ， 主 要 包含 两 
个 方面 : 


e Spider 控 制 ( Control) 
e Spider 可 选项 设置 (Options) 


Burp Spider 的 功能 主要 使 用 于 大 型 的 应 用 系统 测试 ， 它 能 在 很 短 的 时 间 内 帮助 我 们 快速 地 了 
解 系统 的 结构 和 分 布 情况 ， 下 面 我 们 就 先 来 看 看 Spider 控制 ， 


Spider 控制 


Spider 控制 界面 由 Spider 状态 和 Spider 作用 域 两 个 功能 组 成 。 
Burp Intruder Repeater Window Help 

| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 

[ Солго! | Options | 


[2| Spider Status 








Use these settings to monitor and control Burp Spider. To begin spidering, browse to the target application, then right-click one or more nodes in the target site map, and choose "Spider this host / branch". 


| Spider is running | | Clear queues | 


Requests made: 105 
Bytes transferred: 4,438,834 
Requests queued: 0 


Forms queued: 0 


[2| Spider Scope 


(o) @ Use suite scope [defined in Target tab] 


С) Use custom scope 


Spider 状态 除了 显示 当前 进度 、 传 输 情况 、 请 求 队列 等 统计 信息 外 ， 还 有 Spider 运 行 /暂停 按 
钮 与 清空 队列 按钮 ， 分 别 用 来 控制 Spider 是 否 运 行 和 队列 中 I 数据 管理 。 而 Spider 作用 域 是 
用 来 控制 Spider 的 抓 取 范围 ， 从 图 中 我 们 可 以 看 到 有 两 种 控制 方式 ， 一 种 是 使 用 上 一 草 讲 的 

Target Scope ° 5 —# XH P Exe SRNMPAP B mE > 界面 改变 成 下 面 的 样子 ， 
如 下 图 所 示 。 


[2| Spider Scope 
[| O Use suite scope [defined in Target tab] 


(9 Use custom scope 


Include in scope 


| Enabled | Protocol | Host / IP range | Port | File | 


& 


Remove 


Paste URL 








ИШ 


| 
HEN 


Exclude from scope 


Enabled | Protocol | Host / IP range | Port | File | 


Load ... 








& 


Remove 








Paste URL 





ИШ 


此 处 用 户 自 定义 作用 域 的 配置 与 Target Scope 的 配置 完全 一 致 ， 具 体 使 用 方法 请 参数 上 一 章 
Target Scope 的 配置 。 


Load ... 


Spider T 27 1 ë 


Spider T % 5j ix E WRB E ` PILI E ` ЕТЕ ^ ду | SS Eh m `> Жой 5] x 
置 、 请 求 消息 头 设 置 六 个 部 分 组 成 。 


e 抓 取 设 置 (Crawls Settings) -此 项 是 用 来 控制 蜂 蛛 抓 取 网 页 内 容 的 方式 





[2] Crawler Settings 

| U These settings control the way the Spider crawls for basic web content. 
国 Check robots.txt 
国 Detect custam "not found" responses 
Ы Ignore links to non-text content 


国 Request the root of all directories 


W) Make a non-parameterized request to each dynamic page 


Maximum link depth: 5 


Maximum parameterized requests per URL: | 50 


B.E 
而 下 依次 是 : 检查 robots.txt x TF ^ 1514045 5 ` ABABA ES REdE ` Je R H RE 
所 有 文件 和 目录 、 对 每 一 个 动态 页 面 发 送 无 参数 请 求 、 最 大 链接 深度 、 最 大 请 求 URL 参 
数 数目 
e 抓 取代 理 设置 (Passive Spidering ) 


[?] Passive Spidering 
| U Passive spidering monitors traffic through Burp Proxy to update the site map without making any new requests. 


Ы) Passively spider as you browse 


Link depth to associate with Proxy requests: | b | 


iZ ДУ GRR fh] OE $ о RAM > M] Je JR за Ч Burp Proxy， 反 之 则 不 通过 。 第 二 
个 设置 是 控制 代理 的 链接 深度 。 默 认为 0， 表 示 无 限 深 度 ， 即 无 论 有 多 少 层 级 的 URL 均 需 
Xe o 

表单 提交 设置 (Form Submission) X 4€ x: ot E x Xx UO ded & Ba k 4k EEG > 
对 于 form 表 单 的 处 理 方式 ， 其 界面 如 下 图 : 


12| Form Submission 


Г These settings control whether and how the Spider submits HTML forms. 


Individuate forms by: | Action URL, method, fields and values | ” | 


O Don't submit forms 














С) Prompt for guidance 


(9 Automatically submit using the following rules to assign text field values: 





| Add | | Enabled | Match type | Field name | Field value | 

| 国 Regex mail winterexample.com | k 

Edit Ei Regex first Peter 
一 - | [7] Regex last Winter 
— | 国 Regex surname Winter p 
m ME | Eil Regex name Peter Winter 
国 Regex comp Winter Consulting 

| — || | M Regex addr 1 Main Street L | 


























Ы) Set unmatched fields to: | 555-555-0199@ехатр!е.сот 


ССС 


Ы) terate all values of submit fields - max submissions per form: | 10 


第 一 个 下 拉 选 项 中 ， 是 对 form 表 单 域 的 处 理 内 容 做 控制 ， 默 认 选 择 Action URL ^ 
method 、fields、values， 即 同时 处 理 请 求 的 url|、 请 求 方式 GET 或 者 POST、 包 含 哪些 属 
性 名 以 及 属性 值 。 点 击 下 拉 选 项 ， 可 以 选择 其 中 一 个 或 者 几 人 个。 如 下 图 : 


Ind viduata Taai: Action URL, method, fields and values | 
| Action URL 


O) Don't submit for 


O Prompt for quidant Sis qe a | 
й | Action URL, method and fields 
(s) Automatically sub 


Action URL, method, fields and values 





| 接 下 来 的 设置 的 控制 form 表 单 的 处 理 方 
Re 三 种 方式 。 不 提交 表单 的 含义 是 
抓 取 时 候 不 提交 表单 数据 ， 这 个 非 第 好 理解 ; 需要 手工 确认 是 指 当 抓 取 表单 时 ， 弹 出 界 
面 ， 让 渗透 测试 人 员 自 己 手 工 确认 表单 数据 ; 使 用 默认 值 自动 填写 是 对 表单 的 内 容 ， 使 
用 下 方 的 各 个 配置 项 进行 匹配 (匹配 时 可 以 使 用 完全 匹配 和 正则 表达 式 匹 配 两 种 方式 其 
—) ， 默 认 填 写 这 些 值 ， 然 后 自动 进行 提交 。 其 界面 如 下 图 所 示 : 


(s) Automatically submit using the following rules to assign text field values: 





| Add | | Enabled | Match type | Field n name | Field value | 
E dit 国 Regex first Peter EJ 

[Z] Regex last Winter 

| Remove | [Z] Regex surname Winter 
[Z] Regex name Peter Winter 

| Up | 回 Regex comp Winter Consulting 
国 Regex addr 1 Main Street 

| Down | | (/] Regex city Winterville 


Ы] Set unmatched fields to: | 555-555-0199@ехатр!е.спт 





国 terate all values of submit fields - max submissions per form: | 10 


— ee? eee eee ee ene 
PRIA А Жн) By Ph Ap AAT BE PB RA TVA ZJ а рна ЕДА” > ZZ, 
一 指定 输入 的 值 。 如 图 中 a. AMPH алы сот 

e 应 用 登陆 (Application Login) 此 选择 项 主要 用 来 控制 抓 取 时 ， 登 陆 页 面 的 处 理 方式 。 


[?| Application Login 

| Т] These settings control how the Spider submits login forms. 
(o Don't submit login forms 
(e) Prompt for guidance 
O Handle as ordinary forms 


O Automatically submit these credentials: 


选择 项 依次 是 : 不 提交 登陆 信 
` 手工 确认 登陆 信息 、 作 为 普通 表单 处 理 (如 果 选 择 此 项 ， 则 把 登陆 表单 的 form 当 作 
teat- 样 处 理 ， 对 于 登陆 表单 将 使 用 "表单 提交 设置 " 中 的 具体 配置 ) 、 自 动 提交 登 
击 (选择 此 项 ， 需 要 在 下 方 的 输入 框 中 指定 用 户 名 和 密码 ) 
° ийре (Spider Engine) 和 HTTP 消息 头 设置 (Requests Header) 


? 


Spider Engine 


Im These settings control the engine used for making HTTP requests when spidering. 


Gi" 











Mumber of threads: 10 
Number of retries on network failure: 3 
Pause before retry (milliseconds): 2000 





C] Throttle between requests (milliseconds): 


AG rangom variations to throtlle 


Request Headers 


These settings control the request headers used in HTTP requests made by the Spider. 


Accept: */* 


Accept-Language: en 


User-Agent: Maozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64: x64; Trident/5.0) 
Connection: close 





Шве HTTP version 1.1 
[Z] Use Referer header 


Ж фк] EE ELSE ЖЕЗ He sk KUR 00 25 42 3k: МКИ Е К У ФК 
停 间隙 等 ， 而 HTTP 消息 头 设置 是 用 来 设置 Http 请 求 的 消息 头 自 定义 ， 比 如 说 ， 我 们 可 以 
编辑 消息 头 信息 ， 可 以 指定 请 求 为 移动 设备 ， 或 者 不 同 的 手机 型 号 ， 或 者 指定 为 Safari 济 


We wa 
А, 25 


， 指定 HTTP 协 议 版 本 为 1.1、 使 用 referer 等 。 


Ak = 如 何 使 用 Burp Scanner 


Burp Scanner 的 功能 主要 是 用 来 自动 检测 web 系 统 的 各 种 漏洞 ， 我 们 可 以 使 用 Burp Scanner 
代替 我 们 手工 去 对 系统 进行 普通 漏洞 类 型 的 活 透 测试 ， 从 而 能 使 得 我 们 把 更 多 的 精力 放 在 那 
些 必 须要 人 工 去 验证 的 漏洞 上 。 


在 使 用 Burp Scanner 之 前 ， 我 们 除了 要 正确 配置 Burp Proxy 并 设置 浏览 器 代理 外 ， 还 需要 在 


Burp Target 的 站 点 地 图 中 存在 需要 扫描 的 域 和 URL 模 块 路 径 。 如 下 图 所 示 : 


Burp Intruder Repeater Window Help 


| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 
[steman | score | 














Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 





r- http://acca.edu.zhaopin.com B Gonan 
Y —- — zhaopin.com 2 














Hos | Method | URL | Params | Status А Length | MIME type | Title | Сој 
(9 http://alpha.zhaopin.com/jobs.html 4 zhaopin com СЕТ Лоб= һіті ~ E 
> http://arti Add to scope zhaopin.com GET ljobs.html?deptid=1043108 Ы HTML 
E http://bba Spider this branch 
e http://bes Actively scan this branch 
> | o http://bms Passively scan this branch 
> http-//bmwv Send to Intruder Ctri+ 
> http://byd Send to Repeater Ctri=R 
P http-//c.hi Send to Sequencer 
» http://carg Send to Comparer zm 
е http TE Request in browser > Z 
K T ЭЗБЕ Engagement tools > Response | 


当 Burp Target 的 站 点 地 图 中 存在 这 些 域 或 URL 路 径 时 ， 我 们 才能 对 指定 的 域 或 者 URL 进 行 全 
扫描 或 者 分 支 扫描 。 下 面 我 们 就 来 整体 的 学 习 一 下 ， 一 次 完整 的 Burp Scanner 使 用 大 概 需 要 
哪些 步骤 。 


本 章 的 主要 内 容 有 : 


e Burp Scanner 基 本 使 用 步骤 
e Burp Scanner 扫 描 方 式 

e Burp Scanner 扫 描 报 告 

e Burp Scanner 扫 描 控 制 

e Burp Scanner 可 选项 设置 


Burp Scanner 基 本 使 用 步骤 


Burp Scanner 基 本 使 用 主要 分 为 以 下 15 个 步 又， 在 实际 使 用 中 可 能 会 有 所 改变 ， 但 大 体 的 环 

节 主 要 就 是 下 面 的 这 些 。 1, Suite 正 常 启动 并 完成 浏览 器 代理 的 配置 。2. 进 入 Burp 

Proxy， 关 闭 代理 拦截 功能 ， 快 速 的 浏览 需要 扫描 的 域 或 者 URL 模 块 。3. 当 我 们 浏览 时 ， 黑 认 
情况 下 ，Burp Scanner 会 扫描 通过 代理 服务 的 请 求 ， 并 对 请 求 的 消息 进行 分 析 来 辨别 是 非 存 

在 系统 漏洞 。 同 时 ， 当 我 们 打开 Burp Target 时 ， 也 会 在 站 点 地 图 中 显示 请 求 的 URL 树 。 


第 七 章 如 何 使 用 Burp Scanner 


Burp Scanner 基 本 使 用 主要 分 为 以 下 15 个 步骤 ， 在 实际 使 用 中 可 能 会 有 所 改变 ， 但 大 体 的 环 

节 主 要 就 是 下 面 的 这 些 。 1. 确 认 Burp rg 动 并 完成 浏览 器 代理 的 配置 。2. 进 入 Burp 

Proxy， 关 闭 代 理 拦 截 功 能 ， 快 速 的 浏览 需要 扫描 的 域 或 者 URL 模 块 。3. 当 我 们 浏览 时 ， 上 默认 
情况 下 ，Burp Scanner 会 扫描 通过 代理 服务 的 请 求 ， 并 对 请 求 的 消息 进行 分 析 来 辨别 是 非 存 

在 系统 漏洞 。 同 时 ， 当 我 们 打开 Burp Target 时 ， 也 会 在 站 点 地 图 中 显示 请 求 的 URL 树 。 





Burp Suite Professional v1.6.27 -licensed to Lary Lau lll 


Burp Intruder Repeater Window Help 
















s http://www.zhaopin.com/ 
| - Host Method | URL | Params | Status a| Length | MIME type Title 

P = ankang Add to scope : š = 2 
> 08 anging Spider this host | . . 
> = anshan 一 - http//www.zhaopin.com СЕТ Irobots.txt CJ 200 456 script 
> ËB anshun MN WM DN OS http//www.zhaopin.com GET  /static/analytics js g 200 12497 script 

Passively scan this host http://www.zhaopin.com СЕТ 'ankang/ Ü HTML 
> = anyang 上 Кы pill vz pin. І / g ' 
> = baoding Engagement tools > | http//www.zhaopin.com СЕТ langing/ HTML 
> 区 baoji Compare site maps http://ww' w.zhaopin.com СЕТ lanshan/ Ë HTML 
e = baotou Expand branch http'//www.zhaopin.com СЕТ lanshun/ GJ HTML 
> B3 beihai Expand requested items http.//ww w.zhaopin.com СЕТ lanyang/ Ü) HTML 
> = beijing Collapse branch http'//www.zhaopin.com GET /baoding/ QJ HTML Y 
> [3 bengbu Delete host <Ñ . > 
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第 七 章 如 何 使 用 Burp Scanner 


4. 我 们 可 以 有 针对 ， 择 Burp Target 站 点 地 图 下 的 某 个 节点 上 链接 URL 上 ， 弹 出 右 击 菜 
单 ， 进 行 Active Scan。 然 后 在 弹出 的 确认 框 中 ， 点 击 【YES】 即 进行 扫描 整个 域 。 


k Burp Suite Professional v1.8.27 - licensed to Larry_L 


Burp Intruder Repeater Window Help 
[scanner | erc [рени Decoder 


Fiter: Hiding CSS, image and general binary content 





















































# à | Host | Method | URL | Params | Edited | Status | Length | MIME type | Extension 
1 http-//tjb.3lsoft. com GET lserver time = Ü] 
Я itr i the jjo carr ET m = 
3 http:/crl. microsoft. me INAN. zhaopin. e icrosoftrootcert.crl LJ Ы cri 
http'/ñj5 Зівоћ. сот! Add to scope О О 
16 http:down.3Isoft.q Spider from here О G 200 245 HTML html 
31 http./ñi5 3isoft. com PRG mdEIELHIzCWO1LFNv.. g 加 
53 http.images.zhaop ee query-1.9.1.min js g Ü] 200 52048 script is 
76 http.img01.zpin.ne Send to intruder сїн refParams.js = Ü] 200 2475 script js 
a2 http://img0 1.zhaopi in.j 200 188429 script j 
E P send to Repeater Сї | Е 一 - a E 
a7 http-//img01.zhaopi 图 四 200 107608 script j 
| Send to Sequencer I . | š | 
88 http://img0 1.zhaopi 2x min-new.js versio... Ы Ü] 200 16355 script 后 
=I Send to Comparer (request) 
这 时 ， 我 们 打开 Burp Scanner 选项 卡 ， 在 队列 子 选 项 卡 中 ， 会 看 到 当前 扫描 的 进 如 果 


我 们 双击 URL， 则 弹出 扫描 结果 的 提示 信息 。 


Burp Suite Professional v1.6.27 - licensed to Larry Lau 





t 


Burp Intruder Repeater Window Help 


Б Scan item 3 | 5 issues | 4% complete | http://www.zhaopin.com, 
| Target | Proxy | Spider | Scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options к | | P | http:// P / 


ССЗ 
| Seen queue. | Live scanning | issue definitions iim 























# | Host 4| URL | Status i i Cross-domain script include - 
1 http://acca.edu.zhaopin.com I finished 1 Email addresses disclosed 
2 http://www.zhaopin.com / cancelled ] Private IP addresses disclosed 
| j Frameable response (potential Clickjacking) 
/ 漏洞 提示 信息 
进度 = 





ony [Reset 3 





e Password field with autocomplete enabled 


Issue: Password field with autocomplete enabled 
Severity: Low 
Confidence: Certain 


Host: http://www.zhaopin.com 
Path: 1 
Issue detail 


The page contains a form with the following action URL: 
€ https://passport.zhaopin.com/account/login 
The form contains the following password field with autocomplete enabled: 


@ Password 


Issue background 


7. 如 果 果 我 们 在 Burp уои 点 地 图 下 选择 某 个 耶 目 录 进 行 扫描 ， 则 会 弹出 更 优化 的 扫描 选 
项 ， 我 们 可 以 对 选项 进行 设置 ， 指 定 哪些 类 型 的 文件 不 再 扫描 范围 之 内 。 
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第 七 章 如 何 使 用 Burp Scanner 


Burp Suite Professional v1.6.27 - licensed to Larry Lau ОО ооо у у у ss 


Burp Intruder Repeater Window Help 


Tags | Pony [зв | scaer [кдн [ярми | Severe | гесод rome | em | орга | riens- 


mne ve 一 

















|> http://www w.yintechi.com р. i i i EIE „lsm 
| Y p http://www.zhaopin.com 
[5 / (2) You have selected 1 item for active scanning. Before continuing, you can use the filters below to remove certain categories of 
items, to make your scanning more targeted and efficient. 
| „Г anqing TERN: 
| P B3 anshan temove duplica | 0 items] 
> = anshun Remove items already scanned (same URL and parameters) [0 items] 
> = anyang Remove out-of-sc items [all 1 item] 
» = baoding TEX Remove items with no parameters [all 1 item] 
к c baoj (Z) Remove items with media responses [0+ items] 
d- РЕГ (Z) Remove items with the following extensions [0 items] 
» [3 beihai 
> [3 beijing js,gifjpg,png,css 
> =-= bengbu 
> 08 bnzhou Note: Some of the selected items do not yet have responses. If you choose to remove items with media responses, some of these 
P = bozhou items may be removed from the scan when their responses have been analyzed. 
> B3 cangzhou 
» m changchun 
» = changde 
| P Ga changshu 
| > == changzhi 
> = changzhou 
> = changzhutan 
> B3 chaozhou 
» =-= chengde 
-— 








8. 当 我 们 再 次 返回 到 Burp — 选项 卡 界 面 时 ， 选 择 的 子 目 录 已 经 开始 在 扫描 中 ， 其 扫描 
的 进度 依赖 于 需要 扫描 内 容 的 多 少 。9. 如 果 我 们 没有 定义 了 目标 作用 域 (Target Scope) ， 
取 简 单 的 方式 就 是 在 Burp nudi 点 地 图 上 右 击 弹出 菜单 中 添加 到 作用 域 ， 然 后 自动 进行 扫 


T 
Burp Suite Professional v1.6.27 - licensed to Larry_Lau 


Burp intruder Repeater Window Help 

































к http://w w w.yintechi.com Contents 
Y p http://www.zhaopin.com 
D Host Method | URL Params | Status А | Length | MIME type | Title Co| 
» - = | 
> BB anqno D http:www.zhaopin.com/ankang 
> š anshan] Add to scope 
> [3 anshun Spider this branch 
> ВВ anyang Actively scan this branch 
> [I3 baoding Passively scan this branch 
> BE baoj Engagement tools к 
> = baotou ; 
Compare site maps 
P = beihai 
Expand branch 
> m beiing > 
Expand requested items 


10. 然 后 进 A Burp Scanner 的 Live scanning 子 选项 卡 ， , 在 Live Active Scanning 控 制 块 中 ， 选 择 
Use suite scope， 这 样 ，Burp Scanner 将 自动 扫描 经 过 Burp Proxy 的 交互 信息 。 





Burp Suite Professional v1.6.27 - licensed to Larry Lau 


zm =o 


Burp Intruder Repeater Window Help 





2) Live Active Scanning 
[| Automatically scan the following targets as you browse. Active scan checks send various malicious requests designed to identify common vulnerabilities. Use with caution. 


O Don't scan 
(9 Use suite scope [defined in Target tab] 


С) Use custom scope 

















11. 当 我 们 再 次 使 用 浏览 器 对 需要 测试 的 系统 进行 浏览 时 ，Burp Scanner 不 会 发 送 额外 的 请 求 
言 息 ， 自 动 在 浏览 的 交互 信息 的 基础 上 ， 完 成 对 请 求 消息 的 漏洞 分 析 。 12. 此 时 ， 当 我 再 返回 
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第 七 草 如 何 使 用 Burp Scanner 


到 Burp Target3* ж 点 地 图 界面 ， 将 提示 系统 可 能 存在 的 漏洞 情况 ， 以 及 处 理 这 些 漏洞 的 建议 。 


Burp Intruder Repeater Window Help 


Target | Proxy | spiser | scanner | intruder | Repeater | Sequencer | Decoder | comparer | Extender | options | Alerts | 











国 


Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 































































> http://w w w.yintechi.com Contents 
D Status A|length |MMEtype | Title 
] Cross-domain script include 
» = ankang : : - 
> [3 anaing http://ww w.zhaopin.com Irobots.txt О script Emailaddresses disclosed 
> Ë anshan httpv/iwww.zhaopin.com СЕТ /static/analytics js О 200 12497 script Private IP addresses disclosed [4] 
> [3 anshun httpv/iwww.zhaopin.com СЕТ lankang/ О HTML Robots.txt file 
> [3 anyang http'//www.zhaopin.com СЕТ langing/ 日 HTML Frameable response (potential Clickjacking) 
> 一 baoding http://www.zhaopin.com СЕТ lanshan/ Ë HTML 
> = baoji http:/www.zhaopin.com СЕТ lanshun/ О HTML 
> Б baotou httpWwww.zhaopin.com GET lanyang/ B HTML 
k - beihai http.//www.zhaopin.com СЕТ Ibaoding/ m HTML = YU 
> [i veing [4————————————————————SIRER ERN | 
> ЁШ bengbu — — 
> ËB bnzhou quest | Response SEE за [к= 
> 08 bozhou ‚ [Raw | Params | Headers | Hex | 
Б, [йан | params | Headers | Hex | 
> [3 changchun GET / HTTP/1.1 Password field with autocompl 
> [B chanode Accept: application/x-ms-application, image/jpeg, application/xaml «xml, image/gif, image/pjpeg, 
> ЁШ changshu application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* ee ü O 
> =Š changzhi Accept-Language:zh-CN Issue: Password field with autocomplete епа! 
> [3 changzhou User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; NET CLR 2.0.50727; МЕТ ee co 
. оп псе: е їп 
> [Ë] changzhutan CLR 3.5.30729; NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E;InfoPath .3) à я 
А Ë Host: http:/www.zhaopin.com 
> Bi chaozhou Accept-Encoding: gzip, deflate Path: I 
> Bi chengde Host: www.zhaopin.com 
b = rhenadii Caalsias теман ФС лмаг Тік – 1 





13. 同 时 ， 我 们 也 可 以 在 漏洞 提示 的 请 求 信 息 上 ， 将 消息 发 送 到 Burp Repeater 模 块 ， 对 漏洞 进 
行 分 析 和 验证 。 
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Burp Intruder Repeater Window Help 











Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 


































































> http'//www.yintechicom |А) Contents Issues 
FY, Host Method | URL | Params | Status A Length | MIME type | ©) Password field with autocomplete enabled ss 
1 Cross-domain script include 
> = ankang Š À j 
> Bl anging http://www.zhaopin.com СЕТ Irobots txt G 200 456 script 1 ee 
> B3 anshan http://www.zhaopin.com СЕТ Istatic/analytics.js g 200 12497 script > 1 Private ЇР addresses disclosed [4] 
> BBB anshun http://www.zhaopin.com GET lankang/ О HTML 1 Robots.txt file — 
> [3 anyang http://ww'w.zhaopin.com СЕТ langing/ О HTML | Frameable response (potential Clickjacking) 
> = baoding http://www.zhaopin.com СЕТ lanshan/ О HTML 
> = baoji http//iwww.zhaopin.com СЕТ lanshun/ O HTML 
> =[ baotou http://www.zhaopin.com СЕТ lanyang/ О HTML 
> = beihai http://ww w.zhaopin.com GET /baoding/ [а] HTML т 
> [Bi veing _ —EOIEaIam Gs ..|_ ST 
> bengbu 一 一 一 T Do an active scan 
E binzhou Ба i "eqUe$ Do a passive scan 
> [3 bozhou i [ Raw | Params | Headers | нех | i ба Send to Intruder 
> = cangzhou Send to Repeater 
> (8 changchun GET / HTTP/1.1 А GET/HTTP/1.l | sendto Sequencer 
> (8 changde Accept: application/x-ms-application, image/jpeg, application/xaml+xml, Accept: applicatil send to Comparer g, application/xaml+xml, 
> [3 changshu image/gif, image/pjpeg, application/x-ms-xbap, application /vnd.ms-excel, image/gif, imag& send to Decoder application/vnd.ms-excel, 
> [3 chanozhi application/vnd.ms-powerpoint, application /msword, */* application/vnd.| snow response in browser ord, */* 
> [3 changzhou Accept-Language: zh-CN Accept-Languag| mequest in browser » 
> [3 changzhutan User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; User-Agent: Moz Pm Ede — — > indows NT 6.1; WOW64; 
> chaozhou Trident/4.0; SLCC2; МЕТ CLR 2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; Trident/4.0; 51 СО Сору URL .5.30729; .NET CLR 
> [Bi chengde Media Center PC 6.0; NET4.0C; .NETA.OE; InfoPath.3) 3.0.30729; Media Сору саске ;InfoPath.3) 
> [2 chengdu Accept-Encoding: gzip, deflate Accept-Encoding „ 
ч : opy to file 
> chenzhou Hast: www.7haonin.cam Host: www7han 


14.1% Ж Burp Scanner 扫 描 的 进度 ， 在 Burp Target 站 点 地 图 界面 上 的 iSsues 模 块 中 的 ki h 
也 会 不 断 的 更 新 。 15. 5 Burp Scanner 扫 描 完 成 之 后 ， 我 们 在 Burp Target 站 点 地 图 的 选 
接 右 击 ， 依 次 选择 isSsues-->report issues for this host 即 可 寻 出 漏洞 报告 。 
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| Site map | Scope | 








Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 


dp hitp/ww'w.zhaog* 
> | b httpzwww.zhaopin.com/ 





> 8 ankang Add to scope Method = URL | Params | Status А | Length | MIME type | 


=== 






+ "= anging Spider this host БЕ U 
» [8 anshan Actively scan this host 
> [3 anshun Passively scan this host 
т = UT NM Engagement tools 

i m н Compare site maps 

. - edi Expand branch 

Ë š beihai Expand requested items 
> [Ë beijing Collapse branch 

> = bengbu Delete host 

М = binzhou Copy URLs in this host 
» = bozhou Copy links in this host 

» = cangzhou Save selected items 


RI I III il 
ь changchun sues P Report issues for this host 


> [3 changde View Delete issues for this host 
> [3 changshu i indi == 


Show new site map window 


ь [3 changzhi Site map help 
+ ВЕ chanazhou 





T> 


Burp Scanner 29 Z X 


通过 以 上 的 操作 步骤 我 们 可 以 学 习 到 ，Burp Scanner 扫 描 方式 主要 有 两 种 : 主动 扫描 和 被 动 


扫描 
e 主动 扫描 (Active Scanning) 


当 使 用 主动 扫描 模式 时 ，Burp 会 向 应 用 发 送 新 的 请 求 并 通过 payload 验 十 漏洞 。 这 种 模式 下 的 
操作 ， 会 产生 大 量 的 请 求 和 应 答 数 据 ， 直 接 影响 系统 的 性 能 ， 通 第 使 用 在 非 生产 环境 。 它 对 
下 列 的 两 类 漏洞 有 很 好 的 扫描 效果 : 


1， 客 户 端 的 漏洞 ， 像 XSS、Http 头 注入 、 操 作 重 定向 ; 
2 服务 端的 漏洞 ， 像 SQL 注 入 、 命 令 行 注 入 、 文 件 遍 历 。 


对 于 第 一 类 漏洞 ，Burp 在 检测 时 ， 会 提交 一 下 input 域 ， 然 后 根据 应 答 的 数据 进行 解析 。 在 检 
测 过 程 中 ，Burp 会 对 基础 的 请 求 信 息 进行 修改 ， 即 根据 漏洞 的 特征 对 参数 进行 修改 ， 模 拟人 
的 行为 ， 以 达到 检测 漏洞 的 目的 。 对 于 第 二 类 漏洞 ， 一 般 来 说 检测 比较 困难 ， 因 为 是 发 生 在 
RF 2s d] o бген ， 有 可 能 是 返回 数据 库 错误 提示 信息 ， 也 有 可 能 是 什么 也 不 反 
馈 。Burp 在 检测 过 程 中 ， a > 存在， 比如 诱导 时 间 延 迟 、 强 制 修改 
Boolean 值 ， мчч Nid BY 22 IR SET PA ^ CUR Я] EAE SUR da qu d e о 


e 被 动 打 描 (Passive Scanning) 


当 使 用 被 动 扫描 模式 时 ， СЕЗСЕ ， 它 只 是 对 фін ie BL BE Bt FT 
分 析 ， 这 对 系统 的 检测 比较 安全 ， 尤 其 在 你 授权 访问 的 许可 下 进行 的 ， 适用 于 生成 环境 
的 检测 。 一 般 来 说 ， 下 列 这 ee MM 出 来 : 


ФЕ X 8) BAYA A Ja BH Ay АД SC ° 

不 安全 的 Cookie 的 属性 ， 比 如 缺少 的 HttpOnly 和 安全 标志 。 
cookie $2 W E] 4 Ж. ° 

跨 域 脚本 包含 和 站 点 引用 泄漏 ° 

表单 值 自动 填充 ， 尤 其 是 密码 。 

SSL 保 护 的 内 容 缓 存 。 

目录 列表 。 

= XD ЖАЦ JG en Z HEIR о 

session 令 牌 的 不 安全 传输 。 

敏感 信息 泄露 ， 像 内 部 IP 地 址 ， 电 子 邮件 地 址 ， 堆 栈 跟踪 等 信息 泄漏 。 
. — 的 配置 

12， 错 误 或 者 不 规范 的 Content-type 指 令 。 


O O DN O O + O N > 


— — 
— 


虽然 被 动 扫描 模式 相 比 于 主动 模式 有 很 多 的 不 足 ， 人 1L 有 主动 模式 不 具备 的 优点 ， 除 
了 前 文 说 的 对 系统 的 检测 在 我 们 授权 的 范围 内 比较 安全 外 ， 当 某 种 业务 场景 的 测试 ， 每 测试 
一 次 都 会 导致 业务 的 某 方 面 问 题 时 ， 我 们 也 可 以 使 用 被 动 扫描 模式 ， 去 验证 问题 是 否 存在 ， 
减少 测试 的 风险 。 


Burp Scanner 扫 描 报 告 


当 我 们 对 一 个 系统 进行 扫描 完毕 后 ， 通 第 需要 生成 扫描 报告 ，Burp Scanner 支 持 的 报告 类 型 
有 HTML 和 XML 两 种 格式 。 无 法 何 种 格式 的 扫描 报告 ， 其 内 容 基 本 一 致 ， 主 要 由 以 下 部 分 组 
成 。 报 告 样 例 可 以 点 击 Burp Scanner report 查 看 . 


除了 头 部 的 综述 和 目录 外 ， — Te 包含 : 1. 序 号 表示 漏洞 的 序号 ， 如 果 有 多 
个 同样 的 漏洞 ， 报 告 中 只 会 有 一 个 友 онноро ув 
对 应 。 3. 漏 洞 名 称 ， 具 体 可 参考 Issue ‚йс: 4. 漏 洞 路 径 ， 漏 洞 对 应 的 多 个 
URL 链 接 。 5. 漏 洞 的 发 生 点 ， 通 第 为 参数 名 。 6. 问 题 的 描述 〈lssue background) 描述 漏洞 
发 生 的 成 因 7. 解 决 建议 (Remediation background) 提供 解决 的 思路 和 建议 8. 请 求 消息 和 应 
答 消 息 的 详细 信息 。 


如 果 我 们 想 对 某 次 的 扫描 结果 进行 保存 ， 需 要 Burp Target 的 站 点 地 图 子 选项 卡 的 问题 面板 
(Issue) 上 右 击 ， 在 弹出 的 菜单 中 选择 report Issues 进 行 设 置 并 保存 即 可 。 (注意 ， 如 果 想 
导出 所 有 的 漏洞 ， 需 要 选中 所 有 的 问题 列表 ) 具体 导出 漏洞 报告 的 步骤 如 下 : 1. 选 中 需要 保 
存 的 漏洞 ， 右 击 弹 出 菜单 ， 如 下 图 : 


第 七 草 如 何 使 用 Burp Scanner 









Filter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders 















































[ "WW ucrrgou 
> [3 binzhou Contents 
> [3 bozhou Status А Length 
> = cangzhou 
> BI changchun http:Wwww-.zhaopin.com lankang/ О 101790 
> BI chanode http://www.zhaopin.com СЕТ langing/ О 200 99084 
> fon changshu http/www.zhaopin.com СЕТ lanshan/ О 200 109717 1 ч 
> = chanazhi Š r 10 issues selected 
92 http://www.zhaopin.com СЕТ /anshun/ ə 200 92002 1 
> Ë changzhou http'//www.zhaopin.com СЕТ lanyang/ g 200 116554 1 Report select Issues 
> GB changzhutan http://www .zhaopin.com СЕТ Ibaoding/ CQ 200 148680 зе! severity 
> GB chaozhou http//www.zhaopin.com СЕТ Ibaoj/ О 200 102557 1 Set confidence 
> Ë chengde http//www.zhaopin.com СЕТ Ibaotou/ g 200 109676 i Delete selected issues 
> = chengdu 一 一 一 一 -一 一 > | View 
> В chenzhou — Show new site map window 
» Ii смело —r— — 
F: Я lssues help 
> [li chizhou 一 一 











|? | Choose the format for the report. 


@ HTML 
С) XML 


€| Base&4-encode requests and responses 
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j Burp Scanner repc 


[? | select the types of details to include in the report. 


W) Issue background 

Ы) Remediation background 
References 

[4] Issue detail [where applicable] 

W) Remediation detail [where applicable] 





J 4.38 Ж?Н 
息 和 应 答 消 息 设 置 id 


| я PF - 
ting wizarc 





4 Burp Scanner repc 


select how HTTP request messages should appear in the report. 


O Do not include requests 
(s) Include relevant extract 


O Include full requests 


Limit to 


select how HTTP response messages should appear in the report. 


O Do not include responses 


(s) Include relevant extract 


(3 Include full responses 


ram 
by тт, 


告 包含 的 哪些 漏洞 。 


| ?| select the types of issues to include in the report. 


[Z] Private IP addresses disclosed [21] 

Ы) Cross-domain script include [20] 

W) Password field with autocomplete enabled [38] 
国 Cleartext submission of password [19] 

国 Frameable response (potential Clickjacking) [20] 
国 Credit card numbers disclosed [2] 

W) Source code disclosure [18] 

国 Password submitted using GET method [19] 

国 Email addresses disclosed [19] 

国 Robots.txt file [1] 


| Select all | Select none | 


Report title 


Issue organization 


Table of contents levels | z Ы 


summary table All issues 


summary bar chart High, medium and low issues | 'Y 


国 Embed images within HTML (requires modern browser) 





Burp Scanner 2942 #1 


在 对 系统 做 主动 扫描 时 ， 当 我 们 激活 Burp Scanner， 扫 描 控 制 的 相关 设置 也 同时 开始 了 。 如 
下 图 所 示 ， 当 我 们 在 Burp Target 的 站 点 地 图 上 的 茶 个 URL 执 行 Actively scan this host 时 ， 会 
目 动 弹出 过 滤 设 置 。 


Active scanning wizard 


——— 


^| You have selected 241 items for active scanning. Before continuing, you can use the filters below to remove certain 
categories af items, to make your scanning mare targeted and efficient. 


Remove duplicate items (same URL and parameters) [0 items] 
Remove items already scanned (same URL and parameters) [0 items] 
Remove out-of-scope items [all 241 items] 
Remove items with no parameters [all 241 items] 

[v| Remove items with media responses [0+ items] 


|_| Remove items with the following extensions [1 item] 


js,gif.jpg,png,css 


Note: Same ofthe selected items do not yet have responses. If you choose to remove items with media responses, 
some ofthese items may be removed from the scan when their responses have been analyzed. 


| Cancel | | Мех | 


在 这 里 ， 我 们 可 以 设置 扫描 时 过 滤 多 媒体 类 型 的 应 答 、 过 滤 js、css、 图 片 等 静态 资源 文件 。 
当 我 们 点 击 【next】 按 钮 ， 进 入 扫描 路 径 分 支 的 选择 界面 。 如 下 图 : 


Active scanning wizard 





> | Review the items you have selected for scanning. Double-click items to view full details. You can remove individual 
items which you do not wish ta scan, or go back to modify your general filters. 


à Method — | URL 
http. www.zhaopin.com 
http-/^www.zhaopin.com lankanqg/ 
http. www.zhaopin.com ! ilanging’ 
http-/^www.zhaopin.com | lanshan/ 
http-/www.zhaopin.com ЗЕ anshun/ 


http:/www.zh aopin.com ЗЕ ibaa dinol 
http. www.zhaopin.com | Ibaaji/ 
http-/^www.zhaopin.com Ibaatou/ 
http-/^www.zhaopin.com GE Ibeihai/ 


241 items | Remove | | Revert | 


Mate: You have selected to remove items with media respanses. Some ofthe above items do not yet have 
respanses and sa may be removed from the scan when their responses have been analyzed. 


| Back | | OK | 





第 七 章 如 何 使 用 Burp Scanner 


以 上 是 Burp Scanner 开 始 扫描 前 的 控制 ， 当 我 们 设置 完 这 些 之 后 ， 将 正式 进入 扫描 阶段 。 此 
时 ， 在 Scan queue 队 列 界 面 ， 会 显示 扫描 的 进度 、 问 题 总 数 、 请 求 数 和 错误 统计 等 信息 。 





. — N O _ Ет _ Эш 
Burp Intruder Repeater Window Help 


mad area ee 
esas [es 












# | Issues Requests | Errors Insertion points 
1 http:/Awww.zhaopin.com ! 25% complete 3 3 
2 http:/Awww.zhaopin.com Icit/map.html 2596 complete 11 3 
3 http:/Awww.zhaopin.com /static/analytics js 25% complete 2 3 
4 http:/Awww.zhaopin.com Imobile/mobile.html 2596 complete 3 
5 http:/Awww.zhaopin.com /jobseeker/index_industry.html 25% complete 3 
6 http:/Awww.zhaopin.com ljobseeker/index it.html 2596 complete 3 
7 http:/Awww.zhaopin.com Ihydl01/ 2596 complete 3 
8 http-//www.zhaopin.com Ihydl07/ 2596 complete E 
9 http-//www.zhaopin.com Ihydl03/ 2596 complete 3 
10  http//www.zhaopin.com Ihydl02/ 2596 complete 3 
11  http/^www.zhaopin.com Ihydl10/ waiting 


在 此 界面 上 上， 我们 可 以 选中 某 个 记录 ， 在 右 击 的 弹出 菜单 中 ， 对 扫描 进行 控制 。 比 如 取消 扫 
5 ` _ als ` 1 — 、 转 发 其 他 Burp 组 件 等 。 如 下 图 : 





<< Intruder Repeater Window Help 


es ИИС 
(Resurs [ee 


Requests | Insertion points 








Scan next 

Cancel 

Scan again 

Delete items 

Delete finished items 


Automatically delete finished items 
Pause scanner 





Scan queue help 





同时 ， 在 Results 界 面 ， 上 自动 显示 队列 中 已 经 扫描 完成 的 漏洞 明细 。 
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[ Burp Suite Profession vl.6beta sed to (Lat ! (кы il 关 
Burp Intruder Repeater Window Help 















> i http//bms zhaopin.com ! : 

> i http//ccxtgreat.com > @ Password field| Reportselectedissues | 

> i http//ckmap.mediav.com > ? Source code di SB PPP. > 1 High 

> i http//cm.miaozhen.atm.youku.com » i Cross-domain| set confidence > === 

> i http//cm.vamaker.com > i Email address Delete selected issues 

> i http//cpro.baidu.com > i Private IP addre Ө Low 

> ? http://miserupdate.aliyun.com i Robots bt file Stn rents вер i Information 

> @ http://mvp.mediav.com > i HTML does not specify charset [2] rp False positive 

> @ http://pv.mediav.com > i User agent-dependent response [2] ~ Restore original value | 
> | http/j5.3lsoft.com > i Frameable response (potential Clickjacking) [19] 














4b Password field with autocomplete enabled 


Issue: Password field with autocomplete enabled 
Severity: High 

Confidence: Certain 

Host: http://www.zhaopin.com 


Issue detail 
24 instances ofthis issue were identified, atthe following locations: 


e 

4 /citymap.html 
4 /datong/ 
e /datong/ 
4 /deyang/ 
4 /deyang/ 
4 /dezhou/ 
4 /dezhou/ 
@ /eerduosi/ 
€ /eerduosi/ 
e /enshi/ 

e /enshi/ 

@ /ezhou/ 

@ /ezhou/ 

@ ffuzhou/ 
4 /fuzhou/ 
e hydl01/ 
4 /hydl02/ 
@ /hydi03/ 
4 /hydl05/ 


在 每 一 个 漏洞 的 条 目 上 ， 我 们 可 以 选中 漏洞 。 在 弹出 的 右 击 菜单 中 ， 依 次 选择 Set severity ° 
对 漏洞 的 等 级 进行 标识 。 也 可 以 选择 Set confidence， 对 漏洞 是 否 存在 或 误 报 进行 标注 。 
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另外 ， 在 Live Scanning 选 项 卡 中 ， 我 们 也 可 以 对 请 求 的 域 、 路 径 、IP 地 址 、 端 口 、 文 件 类 型 
进行 控制 ， 如 下 图 : 


B Burp Suite Professional v1.6beta - licensed to LarryLau 7 E = 


„Вигр intruder Repeater Window Нер, 

















— — Spider | Scanner | Intruder — — Decoder үт Extender Options Alerts 


| Results | Scan queue | Live scanning 


= B 
[2] Live Active Scanning 





(ә) Automatically scan the following targets as you browse. Active scan checks send various malicious requests designed to identify common vulnerabilities. Use with caution. 


() Dont scan 
() Use suite scope [defined in Target tab] 


@ Use custom scope 
Include in scope 
Add Enabled | Protocol | Host/ IP range | Port | File | 
Edit 
Remove P 
"Paste URL 
Load... | 


Exclude from scope 




















Add Enabled | Protocol | Host/IP range | Port | File 
一 一 一 一 (М) Апу logout 
L Юй | М Апу logoff 
ña > 
Remove М ы EM F 
(Vj Any signout 
Paste URL 








Load... | 


Live Passive Scanning 


Automatically scan the following targets as you browse. Passive scan checks analyze your existing traffic for evidence of vulnerabilities, and do not send any new requests to the target. 


GIC 


© Dont scan 
() Scan everything 
Q Use suite scope [defined in Target tab] 


@ Use custom scope 


Include in scope 


J| Enabled | Protocol | Host/IP range | Port | File | 
Edit Ё 


果 你 选中 了 Use suite Scope， 则 指定 条 件 与 你 在 Burp Target 中 的 Scope 配 置 完 全 一 致 ， 如 
尔 选择 了 Use customs scope， 则 可 以 自己 定义 Scope， 对 于 Scope 的 详细 配置 ， 请 参考 
Burp Target 中 的 Scope 配 置 相关 章节 。 











Burp Scanner 可 选项 设置 


通过 前 几 节 的 学 习 ， 我 们 已 经 知道 Burp Scanner 有 主动 扫描 和 被 动 扫描 两 个 扫描 方式 ， 在 
Options 子 选项 卡 中 ， 主 要 是 针对 这 两 种 扫描 方式 在 实际 扫描 中 的 扫描 动作 进行 设置 。 具 体 的 
设置 包含 以 下 部 分 : 


1. 攻击 插入 点 设置 (Attack Insertion Points) 











Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 





Results | Scan queue | Live scanning | Options 


[2 | Attack Insertion Points 


(о) Place attacks into the following locations within requests: 
(V) URL parameter values 
(VJ Body parameter values 
М Cookie parameter values 
(VJ Parameter name 

(VJ HTTP headers 

М АМЕ string parameters 


|_| REST-style URL parameters 
Change parameter locations (causes many more scan requests): 


[ JURLtobody [ | URL to cookie 
| JBodytoURL [ | Bodyto cookie 
|_| Cookie to URL | | Cookie to body 


Nested insertion points are used when an insertion points base value contains data in a recognized format (for exampe, XML data within a URL parameter): 


М Use nested insertion points 





Maximum insertion points per base request: 30 


Skip server-side injection tests for these parameters: 











| Add Enabled | Parameter | Item | Match type | Expression | 
М Соокіе Мате Matches гедех aspsessionid.* П 
| Edit | М] Соокіе Мате 15 asp.net_sessionid | 
— М Воду paramet... Name Is . eventtarget » 
[RANOR М Воду paramet.. Name Is . eventargument 
М Воду paramet... Name Is __viewstate 
М Воду ајда Мате Is . eventvalidation F 
Ст ———— ÁN V L. La PPP Sena Soll LJ 


Skip all tests for these parameters: 
Add Enabled | Parameter | Item | Match type | Expression 
Edit 
Remove | 














Burp Scanner 在 扫描 中 ， 基 于 原始 的 请 н 息 ， 在 每 一 个 插入 点 构造 参数 ， 对 原 数据 进 
行 替换 ， 从 而 去 验证 系统 漏洞 的 存在 性 。 通 第 ， 以 下 位 置 都 会 被 Burp Scanner 选 择 为 插 
入 点 。 

URL 2: 4 

Body 参 数 (比如 form 表 单 的 值 ， 上 传 文件 、 XML 参数 、JSON 参 数 ) 

Cookie 参 数 

参数 的 名 称 和 个 数 增加 参数 个 数 或 者 增加 参数 来 验证 漏洞 ) 

Http Header 信 息 〈 通 过 对 header 信 息 的 自 改 来 验证 漏洞 ) 

AFM 编码 〈 对 flash 通 信 漏 洞 的 验证 ) 

REST 风 格 的 参数 


соч O т Ь O° N 


对 于 以 上 的 攻击 插入 点 ，Burp Scanner 还 是 可 以 通过 改变 参数 的 位 置 来 验证 漏洞 ，Burp 
Scanner 中 共有 URLto body ` URL to cookie、Body to URL - Body to cookie ` Cookie to 
URL ` Cookie to body 六 种 方式 。 当 我 们 在 扫描 验证 中 ， 可 以 根据 实际 请 求 ， 灵 活 选 择 人 4 
改变 的 组 合 ， 融 效 快速 地 验证 漏洞 。 但 我 们 也 应 该 明白 ， 当 我 们 选中 了 位 置 改 变 来 验 жа 
iF|* Pp 6 £ fBurpA is € 2 18 Ж, WREAEERAAPOMARREAE о 


Ж? ° Burp xx zs dá A ats x 09 EN BBB 5 de — rd ЖО) A 3⁄2 4 < JSON J] 
象 或 者 XML 文本 ，Burp Scanner 在 扫描 时 ， 可 以 对 JSON 对 象 或 XML 文本 中 的 属性 、 属 性 值 进 
行 验证 ， 这 会 极 大 地 提高 了 Burp Scanner 对 漏洞 扫描 的 涉及 面 。 这 是 由 上 图 中 的 use nested 
insertion points 的 checkbox 有 是 否 选中 去 控制 的 ， 默 认 情 况 下 是 选中 生效 的 。 


当 我 们 设置 攻击 插入 点 的 同时 ， 我 们 也 可 以 指定 哪些 和 参数 进行 跳 过 ， 不 需要 进行 漏洞 验证 。 
在 设置 时 ，Burp 是 按照 服务 器 端 参数 跳 过 和 所 有 参数 均 跳 过 两 种 方式 来 管理 的 ， 界 面 如 下 
А : 


Skip server-side injection tests for these parameters: 


| Add | Enabled | Parameter | item | Match type | Expression | | 
М] Cookie Name Matches regex aspsessionid.* | 
| Edit | М] Cookie Name E asp.net sessionid 
| —Q | М] Воду paramet.. Name E 一 -ea 
а. [v] Body paramet.. Name IS _ eyentargument 

[v] Body paramet... Name E | viewstate 

[v] Body paramet.. Name IS __eventvalidation 

cm rp PEUT. RS E U n a a L- St -Ү a 





Skip all tests for these parameters: 
| Add | | Enabled | Parameter | tem | Match type | Expression 
| Edit | 


| Remove | 


2 £442 4951 Ёк ë (Active Scanning Engine) 
es Active Scanning Engine 


Го) These settings control the engine used for making НТТР requests when doing active scanning. 

















Number af threads: 10 
Number af retries on network failure: 3 
Pause before retry (milliseconds): 2000 








|_| Throttle between requests (milliseconds): | 50. 


г | AIL ГІ 411-4 rir) i ii | IIB 


[V] Follow redirections where necessary 


主动 扫描 引擎 设置 主要 是 用 来 控制 主动 扫描 时 的 线程 并 发 数 、 网 络 失败 重 试 间隔 、 网 络 失败 
重 试 次 数 、 请 求 延 迟 、 是 否 跟 踪 重 定向 。 其 中 请 求 延迟 设置 (Throttle between requests) 和 
其 子 选项 延迟 随机 数 (Add random variations to throttle) 在 减少 应 用 负荷 ， 模 拟人 工 测 试 ， 
使 得 扫描 更 加 隐蔽 ， 而 不 易 被 网 络 安全 设备 检测 出 来 。 至 于 这 些 参 数 的 具体 设置 ， 需 要 你 根 
据 服 务 器 主机 的 性 能 、 网 络 带宽 、 穴 户 端 测试 机 的 性 能 做 相应 的 调整 。 一 般 来 说 ， 如 果 您 发 


M- 


运行 缓慢 ， 但 应 用 程序 表现 良好 ， 你 自己 的 CPU 利用 率 较 低 ， 可 以 增加 线程 数 ， 使 
阁 进 行 得 更 快 。 如 果 您 发 现 发 生 连 接 错误 ， 应 用 程序 正在 放 缓 ， 或 你 自己 的 电脑 很 
应 该 减少 线程 数 ， 加 大 对 网 络 故 障 的 重 试 次 数 和 重 试 之 间 的 间隔 。 


JL az 4а 
您 的 扫 
" 你 应 


描 
描 


3. 主 动 扫描 优化 设置 (Active Scanning Optimization ) 


| 2 | Active Scanning Optimization 


[o These settings let you control the behavior of the active scanning logic to reflect the objectives ofthe scan and the nature of the target application. See the detailed help for more information about each option. 
— 


Scan speed: | Могта! 





4) [+ 


Scan ассигасу: | Могта! 





i Use inteligent attack selection 
Md ipie pee 了 优化 扫描 的 速度 和 准确 府 ， 尽 量 地 提高 扫描 速度 的 同时 降低 漏洞 的 
IRZ o 扫描 速度 (Scan speed) 分 快速 、 普 通 、 彻 底 三 个 选项 ， 不 同 的 选项 对 应 于 不 同 的 
E #96 › менуи (Thorough) 时 ，Burp 会 发 送 更 多 的 请 求 ， 对 漏洞 的 衍生 类 型 会 
做 更 多 的 推导 和 验证 。 而 当 你 选择 快速 扫描 (Fast) ° hae haan 一 般 性 的 、 简 单 的 漏洞 
验证 。 扫描 精准 度 (Scan accuracy) 也 同样 分 为 三 : 最 小 化 假 阴 性 (Minimize false 
negatives) 、 首 通 、 最 小 化 假 阳 性 (Minimize false edi ° 扫描 精准 度 主要 是 用 来 控制 
Burp 的 扫描 过 程 中 针对 漏洞 的 测试 次 数 。 当 我 们 选择 最 小 化 假 阳 性 时 ，Burp 会 做 更 多 的 验证 
测试 ， 来 防止 假 阳 性 漏洞 的 存在 ， 但 也 是 恰恰 基于 此 ， 当 Burp 做 更 多 的 验证 测试 时 ， 可 能 存 
在 恰好 无 法 获取 应 答 的 误 报 ， 增 加 了 漏洞 的 噪音 。 智能 攻击 选择 〈Use intelligent attack 
selection ) 这 个 选项 通过 智能 地 忽略 一 些 攻击 插入 点 基 值 的 检查 ， 比 如 说 一 个 参数 值 包含 不 
正 第 出 现在 文件 名 中 的 字符 ，Burp 将 跳 过 文件 路 径 遍 历 检 查 此 参数 ， 使 用 此 选项 可 加 速 扫 

描 ， 并 降低 在 提升 扫描 速度 的 同时 会 导致 漏 报 计 上 升 的 风险 。 


4. 主 动 扫描 范围 设置 (Active Scanning Areas) 


[ 2 | Active Scanning Areas 


| Ur | These settings control the types of checks perfarmed during active scanning. 


[V] SQL injection 
[V] Error-based [V] MSSQL-specific tests 
[V] Time-delay tests [V] Oracle-specific tests 
[V] Boolean conditiontests |] MySQL-specific tests 


[V] OS command injection 
[V] Informed [V] Blind 


[V] Reflected X88 

[V] Stored X88 

File path traversal 

[V] Remote file inclusion 
[V] HTTP header injection 
AML / SOAP injection 

[V] LDAP injection 

[V] Open redirection 

[V] Header manipulation 


[V] Server-level issues 





| Selectall || Selectnone | 
5 过 程 中 ， 你 可 以 根据 你 的 扫描 时 间 、 关 注 的 重点 、 可 能 性 存在 的 漏洞 类 型 等 情 


况 ， 选 择 不 同 的 扫描 犯 围 。 这 里 可 选择 的 扫描 范围 有 : 


e SQL 注入 -可 以 使 不 同 的 测试 技术 (基于 误差 ， 时 间 延 迟 测 试 和 布尔 条 件 测 试 ) ， 并 且 也 
使 检查 所 特有 的 单独 的 数据 库 类 型 (MSSQL ，Oracle 和 MySQL 的 ) ° 

° 操作 系统 命令 注入 - (信息 通知 和 育 注 ) ° 

a 

° 存储 的 路 站 点 脚本 

° 1254218 A 

e HTTP iA 

e XML/ SOAP7£ A 

e LDAP7€A 

° 

e http 消 息 头 可 操纵 

° WA ES HM 


5. 被 动 扫描 范围 设置 《Passive Scanning Areas) 


[? | Passive Scanning Areas 


е) These settings control the types of checks performed during passive scanning. 


[V] Headers [V] MIME type 

[V] Forms [V] Caching 

[V] Links [V] Information disclosure 

М] Parameters [vj Frameable responses ("Clickjacking ) 
[V] Cookies [V] ASP.NET ViewState 


[V] Server-level issues 


| Select all || Select none | 
因为 被 动 扫描 不 会 发 送 新 的 请 求 ， 只 会 对 原 有 数据 进行 分 析 ， 其 扫描 范围 主要 是 请 求 和 应 答 
消息 中 的 如 下 参数 或 漏洞 类 型 : Headers ` Forms ` Links ` Parameters ` Cookies ` MIME 
type、Caching、 敏 感 信 息 泄 露 、Frame 框 架 点 击 劫持 、ASPNET ViewState ° 


第 八 章 如 何 使 用 Burp Intruder 


Burp Intruder 作 为 Burp Suite 中 一 款 功 能 极其 强大 的 自动 化 测试 工具 ， 通 第 被 系统 安全 渗透 测 
ути Сы АНЕ: 


e Intruder 使 用 场景 和 操作 步骤 
e Payload 7H 5 x 3 
Payload 位 置 和 攻击 类 型 

可 选项 设置 《Options ) 
Intruder 攻击 和 结果 分 析 


Intruder 使 用 场景 和 操作 步 好 


在 渗透 测试 过 程 中 ， 我 们 经 篆 使 用 Burp Intruder， 它 的 工作 原理 是 : Intruder 在 原始 请 求 数 据 
的 基础 上 ， 通 过 修改 各 种 请 求 参 数 ， 以 获取 不 同 的 请 求 应 答 。 每 一 次 请 求 中 ，lntruder 通 第 会 
携带 一 个 或 多 个 有 效 攻 击 载荷 《Payload), 在 不 同 的 位 置 进 行 攻击 重 放 ， 通 过 应 答 数 据 的 比 对 
分 析 来 获得 需要 的 特征 数据 。Burp Intruder 通 常 被 使 用 在 以 下 场景 : 


.标识 符 枚 举 Web 应 用 程序 经 第 使 用 标识 符 来 引用 用 户 、 账 户 、 资 产 等 数据 信息 。 例 如 ， 
用 户 名 ， 文 件 D 和 账户 号 码 。 

2. 提取 有 用 的 数据 在 某 些 场景 下 ， 而 不 是 简单 地 识别 有 效 标 识 符 ， 你 需要 通过 简单 标识 符 
提取 一 些 其 他 的 数据 。 比 如 说 ， 你 想 通 过 用 户 的 个 人 空间 jd， 获取 所 有 用 户 在 个 人 空间 标 
AE 86 DE AR Ae EAR о 

3. Jd lA 很 多 输入 型 的 漏洞 ， 如 SQL 注入 ， 跨 站 点 脚本 和 文件 路 径 遍 历 可 以 通过 请 求 参 
数 提交 各 种 测试 字符 串 ， A 他 民利 情况 ， 来 对 应 用 程序 进行 检测 。 由 
于 的 应 用 程序 的 大 小 和 复杂 性 ， 手 动 执 行 这 个 测试 是 一 个 耗 时 且 和 党 正 的 过 程 。 这 样 的 场 
景 ， 您 可 以 设置 Payload， 通 过 Burp Intruder 自 动 化 地 对 Web 应 用 程序 进行 模糊 测试 。 


通 第 来 说 ， 使 用 Burp Intruder 进 行 测 试 ， 主 要 遵循 以 下 步骤 : 


— 


确认 Burp Suite 安 装 正 确 并 正常 启动 ， 且 完成 了 浏览 器 的 代理 设置 。 
da Proxy 选 项 卡 ， 关 闭 代 理 拦截 功能 。 

TARAS (History) 子 选项 卡 ， 查 找 可 能 存在 问题 的 请 求 日 志 ， 并 通过 右 击 菜单 ， 
us ° 


о N 


[intercept | HTTP history | websockets history | Options | history 


Filter: Hiding CSS, image and general binary content 




















# A| Host | Method | URL | Params | Edited | Status Length | MIMEtype | Extension | Title 
117 http://v.baidu.com GET Ivideoapi?callback-jQuery1 111042995... Ы GJ 200 253631 script 
119 http://img.baidu.com GET Ihunter/alog/dp.min.js?v--1691 1 (7) GJ 200 3803 script js 
128 http://himg2.huangiu.com GET /statics/hq201 3/js/lib/jquery1.9.1.js GJ GJ 200 70359 script js 
131 http://cbjs. baidu.com GET Ijs/m.js GJ Ы 200 115018 script js 
132 http-//hm.baidu.com GET Ih.js?1fc983b4c305d209e7605d968e71... (7) GJ 200 29099 script js 
135 http-//c.cnzz.com GET Icore.php?w&  http://s22.cnzz.comnvz stat.php?id-1000010102 script php 
137 http://himg2.huangiu.com GET /statics/hq201 Add to scope script js 
145 http://pos. baidu.com GET {iclm?di=1028 Spider from here script 
146 http://cpro. baidustatic.com GET Icpro/ui/c.js TURON A GRUSS script js 
147 http://pos.baidu.com GET {jclm?di=u239 : script 

= Do a passive scan 





Send to Intruder Ctrl+| 
Request | Response Send to Repeater Ctri+R 


进行 Intruder 选项 卡 ， 打 开 Target 和 Positions 子 选项 卡 。 这 时 ， 你 会 看 到 上 一 步 发 送 过 来 
的 请 н = ‚8; о 


Date RS TE "T - Ee 


вир Intruder Repeater Window Help 














Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 








=A 
Target | Positions | Payloads | Options 
(2) Payload Positions Start attack 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - see help for full details. 


Attack type: | Sniper РА | vj 





GET /z stat.php?id TTP/1.1 A Add § 
Accept: */* 

Referer: http://china.huanqiu.com/article/2016-04/8815557.html?from=bdwz Clear § 
Accept-Language: zh-CN 一 一 一 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; NET CLR 2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; Media Center PC 6.0; [ nin ) 
JNET4.0C; .NET4.0E; InfoPath.3) — 
Accept-Encoding: gzip, deflate masc 


Host: s22.cnzz.com 








B 
|2.) <) +) [->-| Type a search term 0 matches Clear 


1 payload position Length: 411 


ms = r I = r sr s s cO Ea] 


因为 我 们 了 解 到 Burp Intruders я-а 党 刚刚 发 送 过 来 的 原始 请 求 信 息 ， 在 原始 信 
息 指 定 的 位 置 上 设置 一 定数 量 的 攻击 载荷 Payload， 通 过 Payload 来 发 送 请 求 获取 应 答 消 
息 。 默 认 情 况 下 ，Burp Intruder 会 对 请 求 参 数 和 Cookie 参 数 设置 成 Payload position， 前 
级 添加 符合， 如 上 图 红色 标注 位 置 所 示 。 当 发 送 请 求 时 ， 会 将 $$ 标识 的 参数 替换 为 
Payload ° 











6， 在 Position 界 面 的 右边 ， 有 [Add $) ` [Clear$) ` [Auto $) ` [Refersh $】 四 个 按 


钮 ， 是 用 来 控制 请 求 消息 中 的 参数 在 发 送 过 程 中 是 否 被 Payload 替 换 ， 如 果 不 想 被 替换 ， 
则 选择 此 参数 ， 点 击 【Clear$j ,即将 参数 前 缓 $ 去 掉 。 

当 我 们 打开 Payload 子 选 项 卡 ， 选 择 Payload 的 生成 或 者 选择 策略 ， 默 认 情 况 下 选 
i£"Simple list", 当 然 你 也 可 以 通过 下 拉 选 择 其 他 Payload 类 型 或 者 手工 添加 。 


к 


NÆ 如 何 使 用 Burp Intruder 














Target | Proxy | Spider | Scanner Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 








(2) Payload Sets Start attack 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payload set, and each payload type can be customized in different ways. 


Payload set: | 1 v) Payload count: 23 


Request count: 23 





Simple list 
Runtime file 


图 
р 
š 
a 
C 
e 
б 
@ 
о 
а 
= 
ao 
m 
s 

















Type: illegal Unicode indom 
Character blocks 

From: 

To: 23 

Step: 1 

How many: 

Number format 

Base: @ Decimal © Hex 

Min integer digits: 

Max integer digits: 

Min fraction digits: 


8. shay 119 


[вир Suite Рго 
Burp Intruder Repeater Window Help 


回 到 Position 界 面 ， 在 界面 的 右上 角 ， 点 击 【Start attack] › REH ° 


pcm 














Target | Proxy | Spider | Scanner Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 








(2) Payload Positions Start attack 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - see help for full details. 


Attack type: | Sniper v 
GET /2._5їаїрһр?її= 0000101028 HTTP/1.1 E = 














Accept: */* CENE 
Referer: http://china.huanqiu.com/article/2016-04/8815557.html?from=bdwz Clear S 
Accept-Language: zh-CN 一 一 -一 一 一 一 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; МЕТ CLR 2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; Media Center PC 6.0; | Autos | 





NET4.0C; .NET4.0E; InfoPath.3) 
Accept-Encoding: gzip, deflate 
Host: s22.cnzz.com 








v 
2 « + > Туре a search term 0 matches Clear 
1 payload position Length: 411 








9， 此 时 ，Burp 会 自动 打开 一 个 新 的 界面 ， 包 含 攻击 执行 的 情况 、Http 状 态 码 、 长 度 等 结果 
信息 。 


2 5 
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Intruder attack 2 


Attack Save Columns 
[тезе Pens 


Fiter: Showing all items 


Request А | Payload | Status | Error | Timeout | Length | Comment 


baseline request 


1 1 
2 2 
3 3 
4 4 
5 5 
6 6 
7 7 
8 8 
5 9 


[E] (E) (E) (E) ms (D) (2 (E) (D. (E) @ (E) 


Finished u 
10. — O 查看 请 求 消息 和 应 答 消息 的 详细 。 





kas Status E. Error — et Timeout | Length | Comment 
200 


| (functionG@{function 

| КО = "1000010102 "this.R = "z^this.N- "this.&- "ЕЛМ = "this.r2 "1461247213 "‘this.P="zl.cnzz.com'"sthis.L=""sthis.u= 
"CNZZDATA" «this.cithis.t-" CNZZDbridge "-this.c;ithis.Fz" cnzz CV" «this.c;ithis.G- "CZ, UUID" «this.c;this.vz "О this. Az [Vt 
his.a={};thislaQ}function gta bMtrylvar c= 
[|;c.push("siteidz 1000010102 ;c.push( name "*f(a.name)y;c.push("msgz " «f(a.message)xc.push( rz " «f(h.referrer));c.pus 
hipage- "«f(elocation.href))c.push( agent= " «f(e.navigator.userAgent));c.push("ex- "«f(b))c.push( rng= "-Math.floor(?2 
147483 648*Math.random@)) пем Image).src- "http;//jserr.cnzz.com/log.php?" «cj oin & ")}саїсћ (а) маг 
h=documente=window,f=encodeURIComponentl=decodeURIComponentn unescape;k.prototype - [la:function Qftryft 
бї ШШ O,this.JO,thisiaQ,this.HO,this.aQ,this.gaQ, 
this.faQ,thisjaQ, thisjO this.ea()thisha(ythiskka( this.ca(this.aa y this.da(),this.pa y e[this.t] =e[this.t]||{}, this.ba(". cnzz CV") 


lratehfaliafa "i failed" патен Ағ а= evye={miishstiinetian(fretiirn 


11. 很 多 时 候 ， 为 了 更 好 的 标明 应 答 消 息 中 是 否 a 筷 ， 通 第 在 进行 攻击 
前 ， 会 进行 Options 选 项 的 相关 配置 ， 使 用 最 多 的 为 正则 表达 式 匹 配 (Grep - Match) ° 





Intruder attack 3 


Attack Save Columns 


Grep - Match 


[地 These settings can be used to flag result tems containing specified expressions. 


(.] Flag result items with responses matching these expressions: 


error 
exception 
illegal 
invalid 
fail 

stack 
access 
directory 


Enter a new item 
Match type: (& Simple string 
(OQ Regex 


[ ] Case sensitive match 


Ы] Exclude HTTP headers 





12， 或 者 ， 我 们 使 用 结果 选项 卡 中 的 过 滤器 ， 对 结果 信息 进行 算 选 。 


| | Filter: Showing all items 


Filter Dy search term | Filter by status code А Filter by annotation 








国 2хх [success] 
国 3xx [redirection] O Show only commented items 
L] Regex 国 4xx [request error] L] Show only highlighted items 


| ] Case sensitive [| Negative search 国 5хх [server error] 


x | Show all | Hide all 


(functionG{function 
IkO[this.c- 1000010102 this.R = "z^ this.N- "this.K- "this.M- "thisr- "1461247213 this.P- "zl.cnzz.com this. = "this.u- 


| "CNZZDATA" «this.cithis.t-" CNZZDbridge "-this.c;ithis.Fz" cnzz CV" «this.cithis.G- "CZ, UUID" «this.c;this.vz "O^this.A- [Vt 
his.a={};thislaQ}function gta bMtrylvar c= 

| [|;c.push("siteidz 1000010102 ;c.push( name "*f(a.name)y;c.push(i"msgz " *f(a.message)xc.push( rz " «f(h.referrer));c.pus 
hf Page= "«f(elocation.href)ic.push( agent= " «f(e.navigator.userAgent));c.push("ex- "«f(b)yc.push( rng= "-Math.floor(?2 
147483 648*Math.random@)) пем Image).src- "http:;//jserr.cnzz.com/log.php? " «cj oin & ")}саїсћ (а) маг 
h=documente=window,f=encodeURIComponentl=decodeURIComponentn unescape;k.prototype - [la:function Qftryft 
| his. Uu Q,this.IQ,thisiaQ,this.HQ,this.oQ,this.gaQ, 
this.faQ,thisjaQ,this.O,this.eaQ,this.haQ,.this.kaQ,this.caQ,this.aaQ,this.daQ,this.paQ,e[this.t] =e[this.t]||{}, this.ba(". cnzz CV") 


| teatchfaiviata "| fallen "M патент тағ azthiee гете d 
| | ? | | < | | + | | > | Type а search term D matches 
| misha ws nr O 





13. 同时， 结果 选项 卡 中 所 展示 的 列 我 们 是 可 以 进行 指定 的 ， 我 们 可 以 在 菜单 Columns 进 和 


= 


设置 。 


[pesus [т 
V Payload 
Fitter: Showin) J Status 


vw Time of day 


Bequest | Response received 


| Response... | Error | Timeout | Length | Comment 
22:27:39 21 FE 2016 
22:27.39 21 E E 2016 
22:27:39 21 EE E 2016 
22:27:39 21 EBE 2016 
22:27:39 21 EBE 2016 
22:27:39 21 EE E 2016 
22:27:39 21 EBE 2016 
22:2,:39 21 EBE 2016 
22:27:39 21 EE E 2016 
22:27:39 21 EE E 2016 
22:27:39 21 EBE 2016 
22:27:39 21 EBE 2016 


v' Response completed 
v Error 
v Timeout 
x” Length 
Cookies 


w Comment 


1 
2 
3 
4 
5 
6 
T 
8 


[E] 3) (2 (E) 3. (D. (D (D UD. 1 G) C£] 
[E] m E] (E] (C. @ @ @ @ @ (E) E] 





14. 最后， 选择 我 们 需要 的 列 ， 点 击 【Save】 按 钮 ， 对 攻击 结果 进行 保存 。 


Columns 


[7E THEN C 


Results table 
Server responses 


Attack configuration 
| Time of day | Response... | Error | Timeout | Length | Comment 


22:27:39 21 IEE 2016 10445 
22:27:39 21 ЩА 2016 10449 
22:27:39 21 ЩА 2016 10445 
22:27:39 21 HE 2016 520 
22:27:39 21 ШР 2016 519 
22:27:39 21 ЩА 2016 516 
22:27:39 21 ЩА 2016 mit 
22:27:39 21 IEE 2016 520 
22:27:39 21 四 S 2016 519 
22:27:39 21 ЩА 2016 10450 
22:27:39 21 ЩА 2016 527 
22:27:39 21 IEE 2016 520 


бө =j C сп 一 


= iğ 
© 


[E] m mm m mtu (D (D (D @ Е 


[E] (E) E] (E (E. (D. (3. (D (D (D UD Е 


ai 
ha 





15， 当 然 ， 保 存 之 前 我 们 也 可 以 对 保存 的 内 容 进 行 设置 。 





i 


Attack Save Columns 


Fiter: Showing all tems 


Request | Payload | Status | Save results table "e — 


© Al rows Ы] Save header row 


D Selected rows Delimiter: @) Tab © Custom: = 


Include columns: 


Ы] Request 国 Payload | Select all | 


Ы) Status 国 Time of day 


|) Response received [Z] Response completed | Select none | 


Ы] Error 国 Timeout 
Ы Length Ë] Cookies Save 


Ы] Comment 
| Cancel | 


1 1 
2 2 
3 3 
4 4 
5 5 
6 6 
| 了 7 
8 8 


| Finished | 


以 上 这 些 ， 是 Burp Intruder 一 次 完成 的 操作 步骤 ， 在 实际 使 用 中 ， 根 据 每 一 个 人 的 使 用 习惯 ， 
会 存在 或 多 或 少 的 变动 。 而 每 一 个 环节 中 涉及 的 更 详细 的 配置 ， 将 在 接 下 来 的 章节 中 做 更 细 
BK AY | qk o 


Payload 类 型 与 处 理 


在 Burp Intruder 的 Payload 选 项 卡 中 ， 有 Payload 集 合 的 设置 选项 ， 包 含 了 经 常 使 用 的 Payload 
类 型 ， 共 18 种 。 





(2) 


a 


Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payload set, and: 


Payload set: 1 Ú Payload count: unknown 


Payload type: Request count: unknown 


Simple list 






Runtime file 


Payload Ор custom iterator ler] 


This payload Character substitution ocks of ciphertext in ECB-encrypted data, so as to meaningfully modify the decrypted cleartext and potentially interfere with application logic. ou c 
key, to provide] Case modification g into the original data. 


Recursive grep 


Encrypted data в of payload position 


Illegal Unicode 
Character blocks y [ring: 


Format of ariginal data: O Literal value 


(9 Encoded as ASCI hex 


44127 6 : 


e 简单 列表 (Simple list) 一 一 最 简单 的 Payload 类 型 ， 通 过 配置 一 个 字符 串 列表 作为 
Payload， 也 可 以 手工 添加 字符 串 列 表 或 从 文件 加 载 字 符 串 列表 。 其 设置 界面 如 下 图 





[2) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack 


Payload set: 1 | ¥ Payload count: 0 


Payload type: | Simple list Б.д Request count: 0 


[?) Payload Options [Simple list] 


This payload type lets you configure a simple list of strings that are used as payloads. 


EE SS {ЕЛШЕ 


Add from list ... 





在 此 操作 界面 
上 ， 选 择 的 Payload 列 表 中 ， 已 经 预定 义 了 一 组 简单 Payload 列 表 ， 包 括 XSS 脚 本 、CGI 
脚本 、SQL 注 入 脚本 、 数 字 、 大 写字 母 、 小 写字 母 、 用 户 名 、 密 码 、 表 单 域 的 字段 名 、 
IS 文件 名 和 目录 名 等 等 ， 极 大 地 方便 了 渗透 测试 人 员 的 使 用 。 





运行 时 文件 (Runtime file ) 
其 设置 界面 如 下 图 : 


(2) Payload Ѕеїѕ 


8 Ж 文件 ， 作 为 相对 应 Payload 位 置 上 的 Payload 列 表 。 


You can define one ar more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payloa 


Payload set: 1 т Payload count: 0 


Payload i | Runtime Tile | 至 | Request count: 0 


12) Payload Options [Runtime file] 







[Е 12а (B3 salmap-0.9 
s backend s temp 

| (ig Baidu unGuanjia 大 vc6+MSDN 
(Bj bp a 去 全 文档 


Select file us B 机 器 学 习 


This payload type lets you config rom which to read payload strings at runtime. 


2] Payload Processing AERE: 


You can define rules to perform various processing tasks on each payload before it is use 


[^m [wes шї] 


文件 类 型 :| 所 有 文件 т 


a 














[amo || жа | 


Edit 


| Remove: | > 











当 我 们 如 上 图 所 示 ， 指 定 Payload set 的 位 置 1 使 用 的 Payload 类 型 为 Runtime filet} › F% 
的 Payload Options 将 自动 改变 为 文件 选择 按钮 和 输入 框 ， 当 我 们 点 击 【selectfile】 选 择 
文件 时 ， 将 弹出 图 中 所 示 的 对 话 框 ， 选 择 指定 的 Payload 文 件 。 和 运行 时 ，Burp Intruder 将 
读 取 文件 的 每 一 行 作为 一 个 Payload ° 





自 定义 迭代 器 (Custom iterator) 这 是 一 款 功 能 强大 的 Payload， 它 共有 8 个 占 位 ， 
每 一 个 占 位 可 以 指定 简单 列表 的 Payload 类 型 ， 然 后 根据 占 位 的 多 少 ， 与 每 一 个 简单 列表 
的 Payload 进 行 笛 卡 尔 积 ， 生 成 最 终 的 Payload 列 表 。 例 如 ， 某 个 参数 的 值 格 式 是 
Username@@password， 则 设置 此 Payload 的 步骤 是 : 位 置 1， 选 择 Usernames 





第 八 章 如 何 使 用 Burp Intruder 





[2) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack ty 





Payload set: 1 Ww Payload count: 79 192 176 





Payload type: | Custom iterator Request count: 79,192 176 














































































































Payload Options [Custom iterator] 


C 


This payload type lets you configure multiple lists of items, and generate payloads using all perm 





List items for position 1 (8594) 





Paste 
Add from list ... 
Fuzzing - quick 


Fuzzing - full [ » 


Passwords 
Short words 


d-z 


BUR c^ 48515 


£2> 输入 值 @@ 


(2) Payload Options [Custom iterator] 


This payload m configure multiple lists of tems, and generate payloads using all permutations of items in the lists. 


Position: | 2 | | Clear all | 


List items for position 2 (0) 


[Aas] 


Add from list ... 








最 后 指定 位 置 3， 选 择 Passwords 


89 








第 八 草 如 何 使 用 Burp Intruder 


= 


[?) Payload Options [Custom iterator] 


This payload type lets you configure multiple lists of items, and generate payloads using all permutations of items in the lists. 


Position: | 3 iJ | Clear all_| 


List items. for position 3 (3424) 


Add from list ... 


Fuzzing - quick 
Fuzzing - full 


Usernames 


Short words 
a-z 


A-Z 





3 我 们 开始 攻击 时 ， A 的 Payload 值 如 图 所 示 
А Intruder attack 3 
Attack Save Columns 


EEC 


Fiter: Showing all items 


Request á | Payload | Status | Error | Timeout | Length | Comment 
baseline request 
осн qnse 
— d 


Hoo 
Hoo 


13 Qo Qs 
1111111109 526 
2n ins soo 
22222222@@@#S% 
SO aS % 
ADgifts (QD mes 
Sp ausos 


E) G) @ @( (D (D (E) 
[E] @ @ @ (3 (D (D @ 


HTTP/1.1 200 OK 
Server: Tengine 


SI 








e +t Ф 44% (Character substitution ) 顾名思义 ， 此 种 Payload 的 类 型 是 对 预定 义 的 
字符 串 进 行 替 换 后 „а 。 比 如 说 ， 预 定义 字符 串 为 ABCD， 按 照 下 图 的 替换 
规则 设置 后 ， 将 对 AB 的 值 进行 枚 举 后 生成 新 的 Payload ° 


90 





[?) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the | 


Payload set: | 1 p. Payload count: ë (approx) 





Payload type: | Character substitution |" Request count: 8 (approx) 


Payload Options [Character substitution] 


(5 


This payload type lets you configure a list of strings and apply various character substitutions to each item. 


Character substitutions Aa FR ER I 





| | Case sensitive match 


Items (1) 
| Paste | | ABCD 
| Load... | 


| Remove | P 


Clear 


成 的 Payload 如 下 图 所 示 ， 分 别 替 换 了 上 图 中 的 a 和 b 的 值 为 4 与 8 


г 





Fiter: Showing all items 


Request à| Fayload | Status | Error | Timeout | Length | Comment 
0 200 10468 baseline request 
|1 ABCD 200 | 513 
I| 2 4ABCD 200 513 
AS8CD 200 505 


Accept: */* 
Referer: httpz//china.huanqiu.com/article/2016-04/8815557.html ?fromzbdwz 


D matches 


e 大 小 写 替 换 (Case modification ) 对 预定 义 的 字符 串 ， 按 照 大 小 写 规 则 ， 进 行 替 
换 。 比 如 说 ， 预 定义 的 字符 串 为 Peter Wiener， 则 按照 下 图 的 设置 后 ， 会 生成 新 的 
Payload ° 





[ 2) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions ta 


Payload set: 1 u Payload count: 3 (approx) 
Payload type: | Case modification | r a count: 3 (approx) 


Payload Options [Case modification] 


图 


This payload type lets you configure a list of strings and apply various case modifications to each item. 


Case modifications 
国 No change Se 
Ы) To lower case 
Ы] To upper case 
国 To Propername 


国 To ProperName 


| Status | Error | Timeout | Length | Comment 


Feter Wiener 
Peter wiener 
PETER WIENER: 
peter wiener 


Server: Tengine 
Content-Type: application/javascript 
| Content-Length: 9941 


| T7 | | < || + || > | Type а search term 0 matches 





生成 规则 由 上 而 下 依次 是 : No change (不 改变 ， 使 用 原始 字符 串 ) ^ To lower 

case 〈 转 为 小 写字 母 ) 、To upper case 〈 转 为 大 写字 母 ) 、To Propername 〈 首 字母 大 
写 ， 其 他 小 写 ) -ToProperName 〈 首 字母 大 写 ， 其 他 不 改变 ) ， 在 实际 使 用 中 ， 可 以 
根据 自己 的 使 用 规则 进行 勾 选 设置 。 


递归 grep (Recursive grep) 一 一 此 Payload 类 型 主要 使 用 于 从 服务 器 端 提 取 有 效 数据 的 
场景 ， 需 要 先 从 服务 器 的 响应 中 提取 数据 作为 Payload， 然 后 替换 Payload 的 位 置 ， 进 行 
攻击 。 它 的 数据 来 源 了 原始 的 响应 消息 ， 基 于 原始 响应 ， 在 Payload 的 可 选项 设置 

(Options) 中 配置 Grep 规 则 ， 然 后 根据 grep 去 提取 数据 才能 发 生 攻 击 。 比 如 ， 我 在 
grep extract 中 设置 取 服 务 器 端的 Eagleld 作 为 新 的 Payload 值 。 


| Define extract grep item 


[2] Define the location of the item ta be extracted. Selecting the item in the response panel will create a suitable configuration automatically. You can 
= also modify the configuration manually to ensure it works effectively. 


Ы) Define start and end (.] Extract from regex group 
(@@) Start after expression: | ‘\nEagleld: \пЕадеМ\: (улпага function 


O Start at offset: 495 Саве sensitive 


@) End at delimiter: \Wintrin( function( 


С) End at fixed length: 


(] Exclude HTTP headers [Z] Update config based on selection below | Refetch response | 


X-Cache: HIT ТСР МЕМ HIT dirn:-2:-2 
X-swift-SaveTime: Tue, 03 May 2016 15:41:40 GMT 
X-Swift-CacheTime: 5400 

Timing-Allow-Origin:* 

Eagleld: 


(functionO[function 

IkOfthis.c- "1000010102 this.R = "z ;this.N = "this.K- ""sthis.M = ""sthis.r= "1462290100 ";this.P- "z1.cnzz. 
com^this.L- "this.uz CNZZDATA" -this.c;this.t-" CNZZDbridge "-this.c;ithis.F-" cnzz CV" +this.c;th 
is.Gz "CZ UUID"+this.c:this.v="O" this. A={}this.a={}thislaQ}function gia bitrytvar c= 
Usc.push("siteid=1000010102"):c. pushCname="+fla.name))c.push("msg="+fla.message))c.push('r= 
"+f(h.referrer)):c.push("paqge="+flelocation.href)):c.push(agent= "+fle.navigator.userAgent));c.pus 
h("ex="+f(b))yic.push('rnd="+Math.floor(2147483648*Math.random0))y(new 
Image).src="http://[serr.cnzz.com/log.php?"+cjoin("&")}catch(d){}hwar 








0 matches 


| OK | | Cancel | 











点 击 上 图 的 【OK】 按 钮 之 后 ， 完 成 了 Payload 的 设置 。 





[2) Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. * 


Payload set: | 1 |Y Payload count: unknown 


Payload type: | Recursive grep М Request count: unknown 


[2 | Payload Options [Recursive grep] 
This payload type lets you extract each payload from the response to the previous request in the attack. H is useful in some situ: 


Select the "extract grep" item from which to derive payloads: 









Initial payload for first request: 


国 Stop if duplicate payload found 


当 我 发 起 攻击 时 ，Burp 会 对 每 一 次 响应 的 消息 进行 分 析 ， 如 果 提 取 到 了 Eagleld 的 值 ， 则 
作为 Payload 再 发 生 一 次 请 求 。 操 作 图 如 下 : 


I - 


Ë Intruder attack 1 






Positions | Payloads | Options 


LJ] 
sdb fbbch 462291 16722440466 
Sdbfbbce 1462291 17597 96545e 
3dbfbbce14627911758796545e 
3dbfbbce14622911846143814& 
3dbfbbce14622911848143814e 


| server: Tengine 

Content-Type: application/javascript 
| Content-Length: 0 

Connection: clase 

Date: Tue, 03 May 2016 15:22:35 GMT 


L 


Ü matches 


上 图 中 请 求 序号 为 偶数 的 消息 的 Payload 都 是 上 一 次 服务 器 端 响应 的 报 文中 的 Eagleld 的 
值 。 


e 不 合法 的 Unicode 编 码 (Illegal Unicode) 一 一 在 payloads 里 用 指定 的 不 合法 Unicode Ж 
码 蔡 换 字 符 本 身 ， 从 这 些 Payload 列 表 里 产 生出 一 个 或 者 多 个 有 效 负荷 。 在 尝试 回避 基于 
模式 匹配 的 输入 验证 时 ， 这 个 有 效 负 答 会 有 用 的 ， 例 如 ， 在 防御 目录 遍历 攻击 时 ../ 和 .. 友 
列 的 期 望 编码 的 匹配 。 其 配置 界面 如 下 : 


Target | Positions | Payloads | Options 








(2) Payload Sets 


You can define опе or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payload set, and each payload type can be customized in different ways. 


Payload set: |1 т Payload соипї: 0 
Payload type: | Illegal Unicode in) at est count: 0 





2| Payload Options [Illegal Unicode] 





This payload type can be used to generate illegal Unicode representations of TONER OM It is sometimes effective in bypassing filters designed to block certain characters. See the full help for details of each option. 


Overlong UTF-8 encodings 一 Payload 配置 选项 


Maximum length: | 2 bytes |¥ 


Шеда! UTF-8 continuation bytes 


DL Do illegal UTF-8 


Педа! hex characters 


L.J Do illegal hex 


Hex formatting 
(Z) Use lower case alpha characters 


(Z) Add 96 prefix before each byte 


Total encodings 


Estimated encodings: 2 





Stop at maximum: 1000 


上 图 中 的 配置 选项 主要 用 来 控制 不 合法 编码 的 生成 ， 各 项 的 含义 如 下 : maximum 
overlong UTF-8 length Unicode 编码 允许 最 多 使 用 6 字 节 表示 一 个 字符 。 使 用 一 种 类 型 
就 可 以 正确 地 表示 出 (0x00-0x7F) Basic ASCII 字符 。 然 而 ， 使 用 多 字 节 的 Unicode 方案 
也 能 表示 出 它们 (如 ，"overlong" 编 码 )。 下 拉 菜 单 用 来 指定 是 否 使 用 超 长 编码 ， 以 及 应 该 
设 定 的 最 大 使 用 长 度 。 Ilegal UTF-8 continuation bytes 当选 择 的 最 大 起 长 UTF-8 长 
度 为 2 字 节 以 上 ， 这 个 选项 是 可 用 的 。 ро illegal UTF-8 当 使 用 多 字 节 编码 一 个 字符 

时 ， 第 一 个 字 节 后 面 的 字 节 应 该 用 10XXXXXX 这 样 的 二 进 制 格式 ， 来 指出 后 续 的 字 节 。 
然而 ， 第 一 个 字 节 里 最 有 意义 的 位 会 指出 后 面 还 有 多 少 后 续 字 节 。 因 此 ，Unicode 编码 
例 程 会 安全 地 忽略 掉 后 续 字 节 的 前 2 位 。 这 就 意味 着 每 个 后 续 字 节 可 能 有 3 个 非法 变 

种 ， 格 式 为 00XXXXXX ，01XXXXXX 和 11XXXXXX。 如果 选中 这 个 选项 ， 则 非法 
Unicode 有 效 负 荷 源 会 为 每 个 后 续 字 节 生 成 3 个 附加 编码 。 Maximize permutations in 
multi-byte encodings 如 果 选 择 的 最 大 起 长 UTF-8 长 度 为 3 字 节 以 上 ， 并 且 选 中 ” 
illegal UTF-8 "这 个 选项 可 用 。 如 果 ”Maximize permutations їп multi-byte encodings” 疫 被 
选中 ， 则 在 生产 非法 变种 时 ， 不 合法 Unicode 有 效 负 荷 源 会 按 顺 序 处 理 每 个 后 续 字 节 ， 
为 每 个 后 续 字 节 产生 3 个 非法 变种 ， 并 且 其 他 的 后 续 字 节 不 会 改变 。 如 果 ”Maximize 
permutations in multi-byte encodings” 被 选中 了 ， 不 合法 的 Unicode 有 效 负 荷 源 会 为 后 续 
字 节 生成 所 有 的 非法 变种 排 计 ° 如， 多 个 后 续 字 节 会 同时 被 修改 。 在 目标 系统 上 回避 高 
级 模式 匹配 控制 时 ， 这 个 功能 就 会 很 有 用 。lllegal hex 这 个 选择 基本 上 一 直 可 用 。 当 使 
用 超 长 编码 和 后 续 字 节 的 非法 变种 (如 果 选 中 ) 生 成 非法 编码 项 列表 时 ， 通 过 修改 由 此 产生 
的 十 六 进 制 编码 可 能 会 迷惑 到 茶 种 模式 匹配 控制 。 十 六 进 制 编码 使 用 字符 A 一 F 代表 十 进 
制 10—15 的 值 。 然 而 有 些 十 六 进 制 编码 会 把 G 解 释 为 16，H 为 17， 等 等 。 因 此 0x1G 
会 被 解释 为 32。 另 外 ， 如 果 非 法 的 十 六 进 制 字 符 使 用 在 一 个 2 位 数 的 十 六 进 制 编码 的 第 
一 个 位 置 ， 则 由 此 产生 的 编码 就 会 溢出 单个 字 节 的 大 小 ， 并 且 有 些 十 六 进 制 编码 只 使 用 
了 结果 数字 的 后 8 个 有 效 位 ， 因 此 0x1G 会 被 解码 为 257， 而 那 时 会 被 解释 为 1。 每 个 合 








法 的 2 位 数 的 十 六 进 制 编码 有 4—6 种 相关 的 非法 十 六 进 制 表示 ， 如 果 使 用 的 是 上 面 的 编 
码 ， 则 这 些 表示 会 被 解释 为 同一 种 十 六 进 制 编码 。 如 果 ?illegal hex” 被 选中 ， 则 非法 
Unicode 有 效 负 荷 源 会 在 非法 编码 项 列表 里 ， 生 成 每 个 字 节 的 所 有 可 能 的 非法 十 六 进 制 
编码 。 Maximize permutations in multi-byte encodings 如 果 选 中 的 最 大 起 长 UTF-8 
长 度 为 2 ФУ ЕЖА “Педа! hex" 也 被 选中 ， 则 这 个 选项 可 用 。 如 果 Maximize 
permutations in multi-byte encodings” 没 被 选中 ， 在 生成 非法 十 六 进 制 编码 时 ， 非 法 
Unicode 有 效 负 褒 源 会 按 顺 序 处 理 每 个 字 节 。 对 于 每 个 字 节 ， 会 生成 4 一 6 个 非法 十 六 进 
制 编码 ， 其 他 的 字 节 不 变 。 如 果 Maximize permutations in multi-byte encodings” 被 选 

中 ， 则 非法 Unicode 有 效 负荷 源 会 为 所 有 的 字 节 ， 生 成 非法 十 六 进 制 的 所 有 排序 。 如 ， 
多 个 字 节 会 被 同时 修改 。 在 目标 系统 上 回避 高 级 模式 匹配 控制 时 ， 这 个 功能 会 非常 有 

用 。 add % prefix 如 果 选 中 这 个 选项 ， 在 产生 的 有 效 负荷 里 的 每 个 2 位 数 十 六 进 制 编码 
前 面 ， 都 会 插入 一 个 % 符 号 。 Use lower case alpha characters 这 个 选项 决定 了 是 否 在 
十 六 进 制 编码 里 使 用 大 小 写字 母 。Total encodings 这 个 选项 为 会 产生 的 非法 编码 数量 
放置 了 一 个 上 界 ， 如 果 大 量 使 用 超 长 编码 或 者 选中 了 最 大 列表 ， 这 个 选项 会 很 有 用 ， 
为 那 会 生成 大 量 的 非法 编码 。 Match / replace in list items 这 个 选项 用 户 控制 Payload 
列表 中 的 字符 串 ， 它 是 由 匹配 字符 (Match character) 和 替换 字符 编码 (Replace with 
encodings of ) 来 成 对 的 控制 Payload 的 生成 。 


当 攻 击 执行 时 ， 这 个 有 效 负 荷 源 会 和 迭代 所 有 预 设 项 列表 ， 在 非法 编码 集合 里 ， 每 个 预 设 
项 替换 每 个 项 里 的 指定 字符 的 所 有 实例 。 





字符 块 (Character blocks) 这 种 类 型 的 Payload 是 指使 用 一 个 给 出 的 输入 字符 囊 
根据 指定 的 设置 产生 指定 大 小 的 字符 块 ， 衣 现形 式 为 生成 指定 长 度 的 字符 串 。 它 通 第 使 
用 了 边界 测试 或 绥 冲 区 溢出 。 

4 Payload Sets 

Е You сап define опе ог тоге payload sets. The number of payload sets depends оп the attack type defined іп the Positions tab. Various payload types аге available for each payload set, and each рауіоад type сап be 


customized in different ways. 


Payload set |1 M Payload count: 19 





Payload type: | Character blocks WE ае count: 19 





2| Payload Options [Character blocks] 


This payload type generates payloads based on blocks of a specified character or string. It can be useful for detecting buffer overflows and exploiting some logic flaws. 
Base string: А 

Min length: 100 

Мах length: 1000 


Step: 50 


Base string 是 指 设置 原始 字符 串 ，Min length 是 指 Payload 的 最 小 长 度 ，Max length 是 指 
Payload 的 最 大 长 度 ，Step 是 指 生 成 Payload 时 的 步 长 。 如 上 图 的 配置 后 ， 生 成 的 Payload 
如 下 图 所 示 : 


Filter Showing all items 2 


Request a | Payload | Status | Error | Timeout | Length = inEagleld: | Comment 


I 506 3dbfbbc81462376533.. 
506 3dbfbbd0146237653... 
507 3dbíbbcc1462376533... 
506 3dbfbbcc1462376533... 
509 3dbfbbcc1462376533... 
508 3dbfbbcb1462376533... 
509 3dbfbbcd 1462376533... 


513 Sdbibbd0146237653... 


DE E EEE 


" 
4 
5 
B 
7 
8 
g 


=k 
c 


= 
= 


|/z_stat.php?id=RAP | АААДА | : - | | 


Accept: *{* 
Referer: htto://chinahuanqiu.com/article/2016-04/8815557 html?from=bdwz 


Arrant-l ar | атаа" ` zh - r NI 


| ка = | + | k=. Type a search term ü — 
Hinished pou———————————4 





e 数字 类 型 (Number) 
Payload。 它 的 设置 界面 如 下 : 
Payload set: |1 M Payload count 0 


Payload type: | Numbers v] Request count: ü 





类 型 的 Payload 是 指 根据 配置 ， 生 成 一 系列 的 数字 作为 


Payload Options [Numbers] 


(5) 


This payload type generates numeric payloads within a given range and іп a specified format. 


Number range 

Type: (ж) Sequential (.) Random 
From: 

То: 

Step: 


How many: 


Number format 
Base: @ Decimal © Hex 
Min integer digits: 
Max integer digits: 
Min fraction digits: 
Max fraction digits: 
Type & 12 ЛД] Fp f| Ж ve Rš PUR ° From m AMT ARF HH ^ TOR ИНА MR 
止 ，Step 表 示 步 长 是 多 少 ， 如 果 是 随机 数 ， 则 How many 被 激活 ， 表 示 一 共生 成 多 少 个 


随机 数 。Base 表 示 数 字 使 用 十 进 制 还 是 十 六 进 制 形式 ，Min integer digits £ 7 ле] 50) 4 
ж Z У ° Max integer digits 表 示 最 大 的 整数 是 多少 ， 如 果 是 10 进 制 ， 则 Min fraction 
digits 表示 小 数 点 后 最 少 几 位 数 ，Max fraction digits 表 示 小 数 点 后 最 多 几 位 数 。 





日 期 类 型 (Dates) 这 种 类 型 的 Payload 是 指 根据 配置 ， 生 成 一 系列 的 日 期 。 界 面 如 


Payload set | 1 "| Payload count 1 
Payload type: | Dates | TAR Request count: 1 


[2| Payload Options [Dates] 


This payload type generates date payloads within a given range and in a specified format. 























From: |4 | May v| 2016 
То: 4 | May "| |2016 

















Step: |1 | Days v" | 


Format ж) | 05/2016 "| 





下 Example: 05/2016 x 
ik B ik OE hl $: 5 At Ar Sl BR > KAR o а T H 246 X -WnititBurp 
己 提 供 的 样 例 格 式 ， 也 可 以 目 定 义 ， 目 定义 的 时 候 ， 格 式 的 填写 形式 如 & x | 
样 例 | |-------- |-------- || E | Sat | | EEEE |Saturday||d| /7||dd|O7||M|6||MM|06|| 
MMM | Jun | | MMMM| June | | yy| 16 | | yyyy| 2016 | 





暴力 字典 (Brute forcer) 一 一 此 类 Payload 生 成 包含 一 个 指定 的 字符 集 的 所 有 排列 特定 长 
度 的 有 效 载荷 ， 通 溃 用 于 枚 举 字典 的 生成 ， 其 设置 界面 如 下 : 


[2| Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payload set, and each payload type can be 
customized in different ways. 


Payload set: | 1 |”) Payload count 1,679,616 


Payload type: | Brute forcer Y MP Request count 1,679,616 





[2 | Payload Options [Brute forcer] 


This payload type generates payloads of specified lengths that contain all permutations of a specified character set. 


Character set: | abcdefghijkimnopqrsituvaxyz0125456789 


Min length: 4 


Character set 表示 生成 字典 的 数据 集 ， 从 此 数据 集中 抽取 字符 进行 生成 。Min length A 
示 生 成 Payload 的 最 小 长 度 ，Max length 表 示 生 成 Payload 的 最 大 长 度 。 





X7 (Null payloads) 类 型 产生 所 其 值 是 一 个 空 字符 串 。 在 攻 
击 时 ， 需 要 同样 的 请 求 反 复 被 执行 ， 在 没有 任何 修改 原 始 请 求 的 场景 下 此 Payload 是 非常 
有 用 的 。 它 可 用 于 各 种 攻击 ， 例 如 cookie 的 友 列 分 析 、 应 用 层 Dos、 或 保 活 会 话 令 牌 是 在 
其 它 的 间 葡 试验 中 使 用 。 








2 Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each pay 
customized in different ways. 


Payload set | 1 | Payload count 0 
Payload type: | Null payloads [| сае count: 0 


(2) Payload Options [Null payloads] 


This payload type generates payloads whose value is an empty string. With no payload markers configured, this can be used to repeatedly issue the base request unmodified. 


@ Generate payloads 


( Continue indefinitely 
在 配置 — Wi ， 它 有 两 个 选项 ， 我 们 可 以 指定 生成 (Generate) Z > 
Payload， 也 可 以 设置 直 持 续 攻 击 (Continue indefinitely) 


字符 frobber (Character frobber ) 型 的 Payload 的 生成 规律 是 : — 
字符 串 在 每 个 字符 位 置 的 值 ， PA 字符 上 递增 一 个 该 字符 的 ASCII 码 。 它 通 第 使 
用 于 测试 系统 使 用 了 复杂 的 ee 会 话 状 态 ， 当 修改 会 话 令 牌 中 РЧА 
字符 的 值 之 后 ， 您 的 会 话 还 是 进行 了 处 理 ， 那 么 很 可 能 是 这 个 令 牌 实际 上 没有 被 用 来 追 
踪 您 的 会 话 。 其 配置 界面 如 图 : 


[?) Payload Sets 





You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are availal 
customized in different ways. 


Payload set Е М Payload count: б 


Payload type: | Character frobber 7 Request count 6 


Payload Options [Character frobber] 


图 


This payload type operates an a string input and modifies the value of each character position in turn. It is useful to quickly test which parts of a long string have : 


Operate on: ( ) Base value of payload position 


执行 后 生成 的 Payload 如 下 图 所 示 : 
| | Filter. Showing all items 





























| Request ^ | Payload | Status | Error | Timeout | Length | Comment | 
Е 200 = [] 548 

2 200 = C] 517 

3 200 [| Г] 524 

4 200 = Г] 519 

5 200 C] C] 519 

6 200 = = 516 








° чер (Ві flipper ) 


2] 


bë 


—— 





这 种 类 型 的 Payload 的 生成 规律 是 : 对 预 设 的 Payload 原 始 值 ， 
照 比 特 位 ， 依 次 进行 修改 。 它 的 设置 界面 如 下 图 : 


Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are avail: 
customized in different ways. 


Payload set | 1 v Payload count 8 
Payload type: | Bit flipper | {инт Bo 


Payload Options [Bit flipper] 
This payload type operates on an input and modifies the value of each bit position in turn. It can sometimes be used to meaningfully modify the decrypted value 
Operate on: |.) Base value of payload PM 


(ж) Specific string: 





Format of original data: ( ) Literal value 


(ж) Encoded as ASCII hex 


Select bits to flip: [V] 1(LSB) Ы 3 М 5 Ы 7 
М 2 [V] 4 [V] 6 国 8 (MSB) 


其 设置 选项 主要 有 : Operate on 指定 是 对 Payload 位 置 的 原始 数据 进行 Bit 翻 转 还 是 指定 


值 进 行 Bit 翻 转 ，Format of original data 走 指 有 是否 对 原始 数据 的 文本 意义 进行 操作 ， 还 


日 


Ж 5. 


该 把 它 当 作 ASCII 十 六 进 制 ，Select bits to flip 25 2 #12 Bitz wo fi v] VAR 


置 基 于 文本 意义 进行 操作 ， 或 基于 ASCII 十 六 进 制 字 符 串 进行 翻转 。 例 如 ， 如 果 原 始 值 
Ж 


b”， 基 于 文本 意义 的 翻转 结果 是 : 


如 果 是 基于 ASCII 十 六 进 制 字符 串 进 行 翻转 ， 则 结果 是 : 


аа 
а9 
af 
a3 
bb 
8b 
eb 
2b 


这 种 类 型 的 Payload 类 似 于 字符 frobber， 但 在 你 需要 更 细 粒 度 的 控制 时 是 有 用 的 。 例 如 ， 
会 话 令 牌 或 其 他 参数 值 使 用 CBC 模 式 的 块 密码 加 密 ， 有 可 能 系统 地 由 前 一 密码 块 内 修改 
Bit 位 以 改变 解密 后 的 数据 。 在 这 种 情况 下 ， 你 可 以 使 用 的 Bit 翻转 的 Payload 来 确定 加 蜜 
值 内 部 修改 了 个 别 bit 位 后 是 否 对 应 用 程序 产生 影响 ， 并 了 解 应 用 程序 是 否 容 荔 变 到 攻 

击 。 关 于 加 密 模 式 可 以 点 击 阅读 这 篇 文章 做 进一步 的 了 解 。 


АР Ж ж 85 (Username generator) 这 种 类 型 的 Payload 主 要 用 于 用 户 名 和 email 帐 号 
的 自动 生成 ， 其 设置 界面 如 下 图 : 





v2 Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are 
customized in different ways. 


Payload set: | 1 М Payload count 100 (approx) 
Payload type: | Username generator | С.е count 100 (approx) 





(2) Рауіоаа Options [Username generator] 


This payload type lets you configure a list of names or email addresses, and derives potential usernames from these using various common schemes. ' 


Maximum payloads per item: | 115 | 


Items (1) 


| Paste | | 


| Load... | | 





Remove 


| Clear | 


| Add | Enter a new item 


如 上 图 所 示 ， 我 设置 了 原始 值 为 tbdata@hotmail.com, 然 后 执行 此 Payload 生 成 器 ， 其 生 
成 的 — bana 图 所 示 








Status | Error | Timeout | Length Ss Comment 
| t0data@hotmail.com à 521 
t@hotmail.com = 518 
t0@hotmail.com я J 518 
t0d@hotmail.com а | 521 
tOda@hotmail.com | 518 
t0dat@hotmail.com | 520 


| Raw | Headers | Hex | 


HTTP/1.1 200 OK 

Server: Tengine 

Content-Type: application/javascript 

Content-Length: 9941 

Connection: close —— М 


ih Eee 























e ECB 加 密 块 洗 牌 (ECB block shuffler ) 这 种 类 型 的 Payload 是 基于 ECB 加 密 模式 的 
Payload 生 成 器 ， 关 于 加 密 模 式 可 以 点 击 阅 读 这 篇 文章 做 进一步 的 了 解 。 其 原理 是 因为 
ECB 加 密 模 式 中 每 组 64 位 的 数据 之 间 相 互 独立 ， 通 过 改变 分 组 数据 的 位 置 方 式 来 验证 应 


J 42 ДУ = ESSE А ° Hk ше F A > Payload йе ë 43 F] L — 4-Payload Z: #! 
зк зык: 
(? | Payload Sets 


You can define one or mare payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various [ 
customized in different ways. 


Payload set | 1 k. Payload count Ü 


Payload type: | ECB block shuffler | mast count 0 


|?) Payload Options [ECB block shuffler] 


This payload type can be usedto shuffle blocks of ciphertext in ECB-encrypted data, so as to meaningfully modify the decrypted cleartext 
that use the same cipher and key, to provide additional blocks for shuffling inta the original data. 


Encrypted data to shuffle: — ( ) Base value of payload position 


Format of original data: (_) Literal value 
(e) Encoded as ASCII hex 


Black size (usually 8 ог 16): 8 


Additional m— strings - optional 


| Paste | 
| Load... | 


| Remove | | 


e Burp Payload 生 成 插件 (Extension-generated ) 类 型 的 Payload 是 基于 Burp 插 
件 来 生成 Payload 值 ， 因 此 使 用 前 必须 安装 配置 Burp 插 件 ， 在 插件 里 注册 一 个 Intruder 
payload 生 成 器 ， 供 此 处 调用 。 其 基本 设置 和 使 用 步骤 如 下 图 所 示 ， 因 后 续 草 节 将 重点 令 
述 Burp 插 件 ， 此 处 不 再 展开 ° 
国 Payload sets — 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for each payload set, and each payload type can be 
customized in different ways. 








Select payload generator 











Payload set |1 v Payload count: unknown 
Y === 1 F3 > J Selectthe extension-provided payload 
Payload type: | Extension-generated ж Request count: unknown generator that you wantto use. Вигр 4 
extensions can be loaded using the Extender 
tool. 
| ? | Payload Options [Extension-generated] 
— Extension payload generator: | Bradamsa 
This payload type invokes a Burp extension to generate payloads. 
Selected generator: Bradamsa 
OK | Сапсе! 
| Select аепегаїог... | 








e Payload X #] (Copy other payload) 类 型 的 Payload 是 将 其 他 位 置 的 参数 复制 到 
Payload 位 置 上 ， 作 为 新 的 Payload 值 ， 通 常 适用 于 多 个 参数 的 请 求 消息 中 ， 它 的 使 用 场 
景 可 能 是 : 1. 两 个 不 同 的 参数 需要 使 用 相同 的 值 ， 比 如 说 ， 用 户 注 册 时 ， 需 码 设 置 会 输 
入 两 遍 ， 其 值 也 完全 一 样 ， 可 以 使 用 此 Payload 类 型 。 2. 在 一 次 请 求 中 ， 一 个 参数 的 值 是 
基于 另 一 个 参数 的 值 在 前 端 通过 脚本 来 生成 的 值 ， 可 以 使 用 此 Payload 类 型 。 它 的 设置 界 





面 和 参数 比较 简单 ， 如 下 图 所 示 ， 其 中 Payload 位 置 的 索引 值 就 是 指向 图 中 Payload set 的 


值 。 
ЕЗ Payload Sets 


You сап define one or more payload sets. The number of payload sets depends on the attack type defined in 
customized in different ways. 


Payload set | 1 v Payload count unknown 


Paylaad type: | Copy other paylaad Dm «(82 count unknown 


[2 | Payload Options [Copy other payload] 


This payload type capies the value ofthe current payload at another payload position. It can be used with atta: 


Copy from position: | ый 5 —“PayloadBJ4u B #518 


Payload 位 置 和 攻击 类 型 


首先 我 们 来 看 看 Payload 位 置 (Payload positions) 选项 卡 的 设置 界 


| Target Positions | Payloads | Options 








[2| Payload Positions 





























Start attack | 
Configure the positions where payloads will be inserted into the base request. The attack type determines the way їп which payloads are assigned to payload positions - see help for full details. 
Attack type: | Cluster bomb ү”. 
GET /2_<їаїрһр?їа=8100001010288пагпе=81028 НТТР/1.1 n Add 
Accept: */* — r 
Referer: http://china.huanqiu.com/article/2016-04/8815557.html?from=bdwz Clear 8 
Accept-Language: zh-CN 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; NET CLR 2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; Media Center PC Auto S 
6.0; .NET4.0C; .NET4.0E; InfoPath.3) 
Accept-Encoding: gzip, deflate Refresh 
Host: s22.cnzz.com 

Y 

| ? | < || 54 |. Type a sea ch term | 0matches | Clear | 


2 payload positions Length: 422 


从 上 图 中 我 们 可 以 看 出 ，Payload 位 置 的 设置 是 基于 Http 请 求 的 原始 消息 作为 母 板 ， 使 用 一 对 
S 字 符 来 标记 出 Payload 的 位 置 ， 在 这 两 个 号 直接 包 ep ° 当 我 们 已 经 把 一 个 
Payload 在 请 求 消息 的 特殊 位 置 上 时 标明 后 ， 发 起 攻击 时 ，Burp Intruder 就 把 一 个 Payload 值 
放置 到 给 出 的 特殊 位 置 上 上， 替换 S 符 号 标示 的 整个 位 置 。 如 上 图 中 的 参数 id 后 面 的 S 符 号 之 间 
的 标明 的 是 Payload 位 置 1，name 后 面 的 § 符 号 之 间 标 — 的 是 Payload 位 置 2， 这 个 值 对 应 T 
Payload 设 置 中 的 Payload set 的 值 。 我 们 可 以 在 消息 编辑 器 中 间 对 Payload 位 置 进行 编辑 ， 
主要 是 由 右 侧 的 四 个 按钮 来 控制 的 。 


e [Add §】 一 一 在 当前 光标 的 位 置 添加 一 个 Payload 位 置 标志 
e [Clear 8] 清除 所 有 Payload 位 置 标志 或 者 清除 选中 的 Payload 位 置 标志 








e [Auto $) 对 消息 内 容 中 可 能 需要 标志 的 参数 做 一 个 猜测 ， 标 志 为 Payload 位 置 ， 自 
动 设 置 完 之 后 再 做 人 工 的 选择 ， 确 定 哪些 位 置 是 需要 传 入 Payload 的 。 目 前 Burp 支 持 自动 
选择 的 参数 类 型 有 : 1.URL 请 求 参 数 2.Body 参 数 3.cookie 参 数 4. 复 合 型 参数 属性 ， 比 如 
文件 上 传 时 候 的 文件 名 5.XML 数 据 6.JSON 数 据 虽然 Burp 默 认 是 支持 自动 标志 这 些 类 
的 参数 作为 Payload 位 置 ， 但 如 果 是 针对 于 像 XML 或 JSON 的 节点 属性 值 的 ， 还 是 需要 手 
工 指定 。 


° 【Refresh】 一 一 刷新 消息 内 容 中 带 有 颜色 的 部 分 。 


e [Clear] 清除 消息 编辑 器 中 所 有 内 容 。 





在 消息 编辑 器 的 上 方 ， 有 一 个 下 拉 选 择 框 ， 攻 击 类 型 (Attack Type) ° Burp Intruder 支 持 使 
用 Payload 进 行 多 种 方式 的 模拟 攻击 ， 目 前 只 要 有 以 下 4 种 。 


e 狙击 手 模式 (Sniper) 一 一 它 使 用 一 组 Payload 集 合 ， 依 次 蔡 换 Payload 位 置 上 (一 次 攻 


° 攻 城 锤 模式 (Battering гат) 一 一 它 使 用 单一 的 Payload 和 集合 ， 依 次 替换 Payload 位 置 上 
被 $ 标 志 的 文本 〈 而 没有 被 S$ 标 志 的 文本 将 不 受 影响 ) ， 对 服务 器 端 进行 请 求 ， 与 狙击 手 
模式 的 区 别 在 于 ， 如 果 有 多 个 参数 且 都 为 Payload 位 置 标志 时 ， 使 用 的 Payload 值 是 相同 
的 ， 而 狙击 手 模式 只 能 使 用 一 个 Payload 位 置 标志 。 


e ZUA (Pitchfork ) 一 一 它 可 以 使 用 多 组 Payload 集 合 ， 在 每 一 个 不 同 的 Payload 标 志 
位 置 上 (最 多 20 个 ) ， 遍 历 所 有 的 Payload。 举 例 来 说 ， 如 果 有 两 个 Payload 标 志 位 置 ， 
第 一 个 Payload 值 为 A 和 B， 第 二 个 Payload 值 为 C 和 口 ， 则 发 起 攻击 时 ， 将 共 发 起 两 次 攻 
击 ， 第 一 次 使 用 的 Payload 分 别 为 A 和 C， 第 二 次 使 用 的 Payload 分 别 为 B 和 DD。 


e 集束 炸弹 模式 (Cluster bomb) 它 可 以 使 用 多 组 Payload 集 合 ， 在 每 一 个 不 同 的 Payload 
标志 位 置 上 (最 多 20 个 ) ， 依 次 遍历 所 有 的 Payload。 它 与 草 又 模式 的 主要 区 别 在 于 ， 执 
行 的 Payload 数 据 Payload 组 的 乘积 。 举 例 来 说 ， 如 果 有 两 个 Payload 标 志 位 置 ， 第 一 个 
Payload 值 为 A 和 和 B， 第 二 个 Payload 值 为 C 和 D， 则 发 起 攻击 时 ， 将 共 发 起 四 次 攻击 ， 第 
一 次 使 用 的 Payload 分 别 为 A 和 C， 第 二 次 使 用 的 Payload 分 别 为 A 和 DD， 第 三 次 使 用 的 
Payload 分 别 为 B 和 C， 第 四 次 使 用 的 Payload 分 别 为 B 和 DD ° 


-二 


选项 设置 (Options ) 


可 选项 设置 主要 包括 请 求 消 息 头 设置 、 请 求 引 擎 设置 、 攻 击 结果 设置 、grep match, grep 
extract, grep payloads, 以 及 重 定向 设置 。 在 使 用 中 ， 你 可 以 在 攻击 前 进行 设置 ， 也 可 以 在 攻 
击 过 程 中 做 这 些 选项 的 调整 。 





e 请 求 消息 头 设 置 (Request Headers) 这 个 设置 主要 用 来 控制 请 求 消息 的 头 部 信息 ， 
它 由 Update Content-Length header 和 Set Connection: close 两 个 选项 组 成 。 其 中 


Update Content-Length header 如 果 被 选中 ，Burp Intruder 在 每 个 请 求 添加 或 更 新 
Content-Length 头 为 该 次 请 求 的 HTTP 体 的 长 度 正确 的 值 。 这 个 功能 通常 是 为 插入 可 变 长 
度 的 Payload 到 模板 的 HTTP 请 求 的 主体 的 攻击 中 ， 如 果 没 有 指定 正确 的 值 ， 则 目标 服务 
器 可 能 会 返回 一 个 错误 ， 可 能 会 到 一 个 不 完整 的 请 求 做 出 响应 ， 或 者 可 能 会 无 限期 地 等 
待 请 求 继 续 接 收 数 据 。Set Connection: close 如 果 被 选中 ， 表 示 Burp Intruder 在 每 个 请 
求 消息 中 添加 或 更 新 值 为 “关闭 "的 连接 头 ， 这 将 更 迅速 地 执行 。 在 东 些 情况 下 (rms 
本 身 并 不 返回 一 个 有 效 的 Content-Length 或 Transfer-Encoding 头 ) ， 选 中 此 选项 可 能 多 
许 攻 击 。 











Target | Positions | Paylpads | Options 





[? | Request Headers 


These settings control whether Intruder updates the configured request headers during attacks. 


ij 
gi Update Content-Length header 
图 Set Connection: close 





Tñ R45) "ЁН PAUA Engine ) 这 个 设置 主要 用 来 控制 Burp Intruder 攻 击 ， 合 理 
地 使 用 这 些 参数 能 更 加 有 效 地 完成 攻击 过 程 。 它 有 如 下 参数 : Number of threads 并 发 的 
线程 数 ，Number of retries on network failure 网 络 失败 时 候 重 试 次 数 ，Pause before 
retry 重 试 阐 的 暂停 时 间 间 隔 (f^) > Throttle between requests 请 求 延 时 ( = 

秒 ) > Start time 开 始 时 间 ， 启 动 攻 击 之 后 多 久 才 开始 执行 。 


|2| Request Engine 


These settings control the engine used for making HTTP requests when performing attacks. 























Ч | 
Number of threads: 1 
Number of retries on network failure: 3 
Pause before retry (milliseconds): 2000 
Throttle (milliseconds): (её) Fixed Ü 
(_) Variable: start 0 step 30000 
Start time: (e) Immediately 
i9 In | 10 minutes 


шу Paused 





|? | Attack Results 


© 


These settings control what information is captured in attack results. 


[V] Store requests 

[V] Store responses 

图 Make unmodified baseline request 

- Use denial-of-service mode (no results) 
|_| Store full payloads 


这 个 设置 主要 用 来 从 响应 消息 中 提取 结果 项 ， 如 果 匹 配 ， 则 在 攻击 结果 
T Jm 89312] ФА АҢ » 12 T UEFF To AGE 6 Н о Мот * dE SR d mc Дада de EAS 
不 正确 "或 “登录 成 功 ”， 可 以 找到 成 功 的 登录 ;在 测试 SQL 注入 漏洞 ， 扫 描 色 

AODBC” > "错误 "等 消息 可 以 识别 脆弱 的 参数 。 


ЁЛ Grep - Match 
m These settings can be used to flag result items containing specified expressions. 


[vj Flag result items with responses matching these expressions: 


| Paste | 


| Load... | 


| Remove | 


| Clear | 
= | 


Match type: (e) Simple string 
(_) Regex 


| | Case sensitive match 
[V] Exclude HTTP headers 


选项 有 Match type 表 示 匹 配 表达 式 还 是 简单 的 字符 串 ，Case sensitive таїсһ 5 X 
45 55% › Exclude HTTP headers 匹配 的 时 候 ， 是 否 包 含 http 消 息 头 。 


置 可 用 于 提取 响应 消息 中 的 有 用 信息 。 对 于 列表 中 配置 的 每 个 项 
Я › Burp2?$ Jo & s. 的 文本 的 新 结果 列 。 然 后 ， 您 可 以 排序 此 列 (通过 单 击 
列 标题 ) 命令 所 提取 的 数据 。 此 选项 是 从 应 用 数据 挖掘 有 用 的 ， 能 够 支持 广泛 的 攻击 。 
例如 ， 如 果 你 是 通过 一 系列 文档 ID 的 循环 ， 可 以 提取 每 个 文档 寻找 有 趣 的 项 目的 页 面 标 
题 。 如 果 您 发 现 返 回 的 其 他 应 用 程序 用 户 详细 信息 的 功能 ， 可 以 通过 用 户 ID 重 复 和 检索 
有 关 用 户 寻 找 管 理 帐 户 ， 其 至 密码 。 如 果 “ 让 忘 密 码 ” 的 功能 需要 一 个 用 户 名 作为 参数 ， 并 








有 关 用 户 了 寻找 管理 帐户 ， 其 至 密码 。 如 果 “ 遗 忘 密码 "的 功能 需要 一 个 用 户 名 作为 参数 ， 并 
返回 一 个 用 户 配 置 的 密码 提示 ， 您 可 以 通过 共同 的 用 户 名 列表 运行 和 收获 的 所 有 相关 密 
码 的 提示 ， 然 后 直观 地 浏览 列表 寻找 容 多 被 猜 到 密码 。 


|? | Grep - Extract 
| T! These settings can be used to extract useful information from responses into the attack results table. 


[v] Extract the following items from responses: 


| Add J 
| Edit J 
| Remove J 
| Duplicate J P 
[An 
| Down | 
| Clear | 


Maximum capture length: 100 


这 些 设置 可 用 于 提取 响应 消息 中 是 否 包 含 Payload 的 值 ， 比 如 说 ， 你 
上 验证 反射 性 的 XSS 脚 本 是 否 成 功 ， 可 以 通 。 当 此 项 设置 后 ， 会 在 响应 的 
结果 列表 中 ， > 根据 Payload 组 的 数目 ， 添 加 新 的 列 ， 显 示 匹 配 的 结果 ， 你 可 以 通过 点 击 列 

标题 对 结果 集 进 行 排序 和 查找 。 


|? | Grep - Payloads 

| These settings сап be used to flag result items containing reflections ofthe submitted payload. 
| | Search responses for payload strings 
|_| Case sensitive match 


|_| Exclude HTTP headers 
[v] Match against pre-URL-encoded payloads 


其 设置 项 跟 上 一 个 类 似 ， 需 要 注意 的 是 Match against pre-URL-encoded payloads ° 2» 
果 你 在 请 求 消息 时 配置 了 URL-encode payloads ， 则 这 里 表示 匹配 未 编码 之 前 的 
Payload 值 ， 而 不 是 转 码 后 的 值 。 








+æ 5) ( Redirections) 空 制 执行 攻击 时 Burp 如 何 处 理 重 定向 ， 
在 实 ed 才能 实现 你 的 攻击 目的 。 例 如 ， 在 密码 猜测 攻 
击 ， 每 次 党 试 的 结果 可 能 是 密码 错误 会 重 定向 响应 到 一 个 错误 消息 提示 页 面 ， 如 果 密 码 
正确 会 重 定向 到 用 户 中 心 的 首页 。 但 设置 了 重 定 向 也 可 能 会 遇 到 其 他 的 问题 ， 比 如 说 ， 
睛 况 下 ， 应 用 程序 存储 您 的 会 话 中 初始 请 求 的 结果 ， 并 提供 о 
直 ， 这 时 可 能 有 必要 在 重 定 向 时 只 使 用 一 个 单线 程 攻击 。 也 可 能 会 遇 到 ， 当 你 设置 重 定 


向 ， 应 用 程序 响应 会 重 定 向 到 注销 页 面 ， 这 时 候 ， 按 照 重 定向 可 能 会 导致 您 的 会 话 被 终 
止 时 。 因 其 设置 选项 跟 其 他 模块 的 重 定向 设置 基本 一 致 ， 此 处 就 不 再 重 叙 。 


ә | Redirections 


m These settings control how Burp handles redirections when performing attacks. 


Follow redirections: (e) Never 
(_) On-site only 
(O In-scope only 
(.) Always 


|_| Process cookies in redirections 


Intruder 攻击 和 结果 分 析 


一 次 攻击 的 发 起 ， 通 常 有 两 种 方式 。 一 种 是 你 在 Burp Intruder 里 设置 了 Target, Positions, 
Payloads and Options ， 然 后 点 击 【Start attack] 2 25%: 另 一 种 是 你 打开 一 个 之 前 保存 
约 预 攻击 文件 ， 然 后 点 击 et attack】 启 动 攻击 。 无 论 是 哪 种 方式 的 攻击 发 起 ，Burp 都 将 
弹出 攻击 结果 界面 。 在 攻击 的 过 程 中 ， 你 也 可 以 修改 攻击 配置 ， 或 者 做 其 他 的 操作 。 攻 击 结 
果 的 界面 如 下 图 所 示 : 
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Attack Save Columns 


aquest | Payload | Status | Error |1 Timeout -一 Length | Comment 


200 


消息 记录 区 
200 


TTP/1.1 200 OK 
server: Tengine 
ontent-Type: application/javascript 请 求 /响应 区 
ontent-Length: 0 
onnection: close 
Date: Fri, 06 May 2016 15:31:25 GMT 
ast-Modified: Fri, 06 May 2016 15:3 1:25 GMT 
ache-Control: max-age- 5400,s-maxage = 5400 
la: cachelü.12cn62[56,200-0,M], cacheb6J2cnó62[56,0], cachel66.cn43[88,200-0,M], cachel1562.cn43 [9 1,0] 
“Cache: MISS TCP_REFRESH_MISS dirn:6:1140093 726 


araa ar зв aT 

















Type a search term 0 matches 





о. ie СИЕ 、 过 滤器 、Payload 执 行 结果 消息 记录 区 、 请 求 / 响 


e 菜单 区 包含 Attack 菜 单 、Save 菜 单 、Columns 菜 单 。 Attack 菜 单 主要 用 来 控制 攻击 行为 
的 ， 你 可 以 暂停 攻击 (pause) ` IX Xxx (resume) 、 再 次 攻击 (repeat) ° Save 
菜单 主要 用 来 保存 攻击 的 各 种 数据 ，Attack 保生 当前 攻击 的 副本 ， 下 次 可 以 从 此 文件 进 
行 再 次 攻击 ; Results table 保 存 攻击 的 结果 列表 ， 相 当 于 图 中 的 Payload 执 行 结果 消息 记 
录 区 数据 ， 当 然 你 可 以 选择 行 和 列 进行 保存 ， 只 导出 你 需要 的 数据 ; Server responses 
保存 所 有 的 服务 器 响应 消息 ; Attack configuration 保 存 当 前 的 攻击 配置 信息 。 
Columns 菜 单 主要 用 来 控制 消息 记录 区 的 显示 列 。 如 果 茶 个 列 被 选中 ， 则 在 Payload 执 行 
结果 消息 记录 区 显示 ， 反 之 则 不 显示 。 





e TRA 可 以 通过 查询 条 件 、 服 务 器 响应 的 状态 码 、 注 释 过 Payload 执 行 结果 消息 记录 
区 的 信息 进行 过 滤 。 


e Payload 执 行 结 果 消 息 记 录 区 ， 又 称 结果 列表 (Results Table) ， 记 录 Payload 执 行 时 请 
求 和 响应 的 所 有 信息 ， 它 包含 的 列 有 : 请 "T 列 一 一 显示 请 求 的 序列 号 ， 如 果 配 置 了 记 
录 未 修改 的 请 求 消息 母 板 ， 则 会 在 第 一 个 进行 记录 。 Payload 位 置 一 -狙击 手 模式 下 会 
记录 Payload 值 一 一 如 果 有 多 个 Payload， 则 存在 多 个 列 HTTP 状态 码 一 一 服务 器 响应 状 
态 码 请 求 时 间 执行 攻击 的 时 间 响应 时 间 开始 接受 到 响应 时 间 ， рц ° 响 
应 完成 时 间 о] EL Ж, ЛАН] B]: BAA BAY o 网 络 错误 
络 问题 超时 情况 一 一 等 待 应答 响 应 过 程 中 ， 是 否 发 生 网 络 超时 长 度 一 一 响应 消 diera 
Cookie 一 一 任何 的 Cookie 信 息 Grep 如 果 设 置 了 Grep 匹配 、Grep 提取 、Grep 
Payload， 则 会 有 多 个 列 显 示 匹 配 的 信息 重 定向 一 一 如 果 配 置 了 重 定向 ， 则 显示 注释 

消息 记录 的 注释 信息 
































立 了 


A £ y б 





。 请 求 /响应 消息 区 














在 对 攻击 结果 的 分 析 中 ， 你 可 以 通过 单 击 任 一 列 标题 ( 单 击 标题 循环 通过 升序 排序 ， 降 序 排 
Ре АУЕ) 重新 排序 表 的 内 容 。 有 效 地 解释 攻击 的 结果 的 一 个 关键 部 分 是 定位 有 效 的 或 成 
功 的 服务 器 响应 ， 并 确定 生成 这 些 请 求 。 有 效 的 应 答 通 常 可 以 通过 以 下 中 的 至 少 一 个 存在 差 
Я: 1. 不 同 的 HTTP 状 态 代 码 2. 不 同 长 度 的 应 答 3. 和 存在 或 不 存在 某 些 表达 式 4. 错 误 或 超时 的 
发 生 5. 用 来 接收 或 完成 响应 时 间 的 差异 比如 说 ， 在 URL 路 径 扫 描 过 程 中 ， 对 不 存在 的 资源 的 
请 求 可 能 会 返回 “404 未 找到 ”的 响应 ， 或 正确 的 URL 会 反馈 的 “200 OK" 响 应 。 或 者 在 密码 猜测 
攻击 ， 失 败 的 登录 尝试 可 能 会 产生 一 个 包含 “登录 失败 ”关键 字 “200 OK" 响 应 ， 而 一 个 成 功 的 登 
录 可 能 会 生成 一 个 “302 对 象 移 动 "的 反应 ， 或 不 同 的 "200 OK” 响 应 页 面 。 


每 一 个 渗透 测试 人 员 ， 对 Burp Intruder 攻击 结果 的 ЕХ ， 这 主要 源 于 个 
人 水 平 的 不 同和 经 验 的 不 同 。 在 实战 中 ， 只 有 慢 慢 尝试 ， 积 系 ， 才 能 速 地 对 攻击 结果 
的 分 析 获 取 自 己 关注 的 重要 信息 。 


第 九 章 如 何 使 用 Burp Repeater 


Burp Repeater 作 为 Burp Suite 中 一 款 手 工 验 证 HTTP 消 息 的 测试 工具 ， 通 常用 于 多 次 重 放 请 求 
响应 和 手工 修改 请 求 消息 的 修改 后 ур 器 端 响应 的 消息 分 析 。 本 和 草 我 们 主要 学 习 的 内 容 
A: 


e Repeater 的 使 用 


e 可 选项 设置 (Options ) 


Repeater 的 使 用 


在 渗透 测试 过 程 中 ， 我 们 经 第 使 用 Repeater 来 进行 请 求 与 响应 的 消息 验证 分 析 ， 比 如 修改 请 
求 参 数 ， Ane ; 修改 请 求 参 数 ， 验 证 逻辑 越权 ; 从 拦截 历史 记录 中 ， 捕 获 特 征 性 
的 请 求 消息 进行 请 求 重 放 。Burp Repeater 的 操作 界面 如 下 图 所 示 : 


B Burp Suite Professional v1.6beta - icensed 
Burp Intruder Repeater Window Help 








POST / HTTP/1.1 
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml xml, 


image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint 


application/msword, */* 
Accept-Language: zh-CN 
ser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 
2.0.50727: .NET CLR 3.5.30729: .NET CLR 3.0.30729: Media Center PC 6.0: InfoPath.2; 
ET4.0C; .NET4.0E) 
Accept-Encoding: gzip, deflate 
ost: www.baidu.com 


Connection: Keep-Alive 

Cookie: BAIDUIDZDOB4C6D5F71661E12A778120C8:FG- 1 
Lontent-Type: application/x-www-form-urlencoded 
Content-Length: 0 


请 求 消 息 区 


4. 


Response 


нан [Header | 


НТТР/1.1 302 Moved Temporarily 

Server: bfe/1.0.8.14 

Date: Tue, 03 May 2016 01:28:01 GMT 
Content-Type: text/html 

Content-Length: 215 

Connection: keep-alive 

Location: https://www.baidu.com/search/error.html 
X-UA-Compatible: IE=Edge,chrome=1 
BDPAGETYPE: 3 

Set-Cookie: BDSVRTM =0; path=/ 


<html> 

<head> «title» 302 Found«/title» </head> 

«body bgcolorz "white"» 

«center» «h1» 302 Found «/h1» </center> 

«hr» «center» pr-nginx 1-0-268 BRANCH Branch 
Time : Wed Apr 27 21:10:17 CST 2016</center> 
</body> 

</html> 


应 管 消息 区 





清 求 消息 区 为 客户 端 发 送 的 请 求 消 息 的 详细 信息 ，Burp Repeater 为 每 一 个 请 求 都 做 了 请 求 编 
号 ， 当 我 们 在 请 求 编码 的 数字 上 双击 之 后 ， 可 以 修改 请 求 的 名 字 
息 时 ， 做 备注 或 区 分 用 的 。 在 编号 的 下 方 ， 有 一 个 【GO j 按钮 ， 当 我 们 对 请 求 的 消息 编辑 完 


， 这 是 为 了 方便 乡 个 请 求 消 


之 后 ， 点 击 此 按钮 即 发 送 请 求 给 服务 器 端 。 服 务 器 的 请 求 域 可 以 在 target 处 进行 修改 ， 如 上 图 
所 示 。 


me x 





6x -+ 





he TAA 
LAICE] 


Request 


| Raw | Hex | 


до Bi 消息 区 为 对 应 的 请 求 消息 /会 所 Wh [СО] 按钮 后 ° JE Z Z 35 Ay K. 馈 消 息 SO 通过 修改 请 来 消息 ,H. 
的 参数 来 比 对 分 析 每 次 应 答 消息 之 间 的 差异 ， 能 更 好 的 帮助 我 们 分 析 系 统 可 能 存在 的 漏洞 。 





在 我 们 使 用 Burp Repeater 时 ， 通 第 会 结合 Burp 的 其 他 工具 一 起 使 用 ， 比 如 Proxy 的 历史 记 
录 ，Scanner 的 扫描 记录 、Target 的 站 点 地 图 等 ， 通 过 其 他 工具 上 的 右 击 菜单 ， 执 行 【Send 
to Repeater】， 跳 转 到 Repeater 选 项 卡 中 ， 然 后 才 是 对 请 求 消息 的 修改 以 及 请 求 重 放 、 数 据 
分 析 与 漏洞 验证 。 


可 选项 设置 Options ) 


与 Burp 其 他 工具 的 设置 不 同 ，Repeater 的 可 选项 设置 菜单 位 于 整个 界面 顶部 的 菜单 栏 中 ， 如 
图 所 示 : 


4 Burp Suite Professic al v1.6beta - licensed to La | 
Burp Intruder [ЕЙ Window Help 
Target | Proy v Update Content-Length Sequencer | Decoder - Comparer | Extender | Options | Alerts 

X! Unpack gzip / deflate 
Follow redirections P 


























































































Site map | 5 


Filter. Hiding n 







Process cookies in redirections 3l binary content; hiding 4xx responses; hiding empty folders 






View 


Aclion st " Method | URL | | Params | Status ^ | Length 






置 主要 包括 以 下 内 容 : 


° o 
个 选项 是 用 于 控制 Burp 是 否 自动 更 新 请 求 消息 头 中 的 Content-Length 


e 解压 和 压缩 (Unpack gzip / deflate ) 这 个 选项 主要 用 于 控制 Burp 是 否 自动 解压 或 压缩 


跳 转 控制 (Follow redirections) 这 个 选项 主要 用 于 控制 Burp 是 否 自 动 跟随 服务 器 端 作 请 
求 跳 转 ， 比 如 服务 端 返 回 状态 码 为 302， 是 否 跟着 应 答 跳 转 到 302 指 向 的 uUfl 地 址 。 它 有 4 
个 选项 ， 分 别 是 永 不 跳 转 (Never) ， 站 内 跳 转 (On-site only ) 、 目 标 域内 跳 转 (|n- 
scope only) 、 始 终 跳 转 (Always) ， 其 中 永 不 跳 转 、 始 终 跳 转 比 较 好 理解 ， 站 内 跳 转 
是 指 当 前 的 同一 站 点 内 跳 转 ; 目标 ARR 是 指 target scope 中 配置 的 域 可 以 跳 转 ; 


跳 转 中 处 理 Cookie (Process cookies in redirections ) 这 个 选项 如 果 选 中 ， 则 在 跳 转 过 
程 中 设置 的 Cookie 信 息 ， 将 会 被 带 到 跳 转 指 向 的 URL 页 面 ， 可 以 进行 提交 


视图 控制 (View) 这 个 选项 是 用 来 控制 Repeater 的 视图 布局 


其 他 操作 (Action) 通过 子 菜单 方式 ， 指 向 Burp 的 其 他 工具 组 件 中 。 


第 十 章 如 何 使 用 Burp Sequencer 


Burp Sequencer 作 为 Burp Suite 中 一 款 用 于 检测 数据 样本 随机 性 质量 的 工具 ， 通 常用 于 检测 访 
问 令 牌 是 否 可 预测 、 密 码 重 置 令 牌 是 否 可 预测 等 场景 ， 通 过 Sequencer 的 数据 样本 分 析 ， 能 很 
好 地 降低 这 些 关键 数据 被 伪造 的 风险 。 本 章 我 们 主要 学 习 的 内 容 有 : 

e Sequencer 使 用 步骤 

e 可 选项 设置 Options ) 


Sequencer 使 用 步骤 


Burp Sequencer 作 为 一 款 随 机 数 分 析 的 工具 ， 在 分 析 过 程 中 ， 可 能 会 对 系统 造成 不 可 预测 的 

影响 ， 在 你 不 是 非常 熟悉 系统 的 情况 下 ， 建 议 不 要 在 生产 环境 进行 数据 分 析 。 它 的 使 用 步骤 
ge : 1. 首 先 ， 确 认 Burp Suite 安 装 正 确 ， 并 配置 好 浏览 器 代理 ， 正 常 运行 。2. 从 Burp 
Proxy 的 历史 日 志 记 录 中 ， 了 寻找 token 或 类 似 的 参数 ， 返 回 右 击 弹出 上 下 文 菜单 ， 点 击 【Send 
to Sequencer 


Intercept | HTTP history | WebSockets history 
Filter: Hiding CSS, image and general binary content 





# «| Host | Method | URL | Params | Edited | Status | Length | MIME type | Extension | 

82 http.-/home.baidu.com GET iresource/rihame/flash.js [| [ j 200 1218 script js 

832  )http/home.baidu.com GET iresource/rhame/banner.swf = [| 200 13300 flash swt 

542 hittpwvhome.baidu.com GET finddata.xml Ы Ы 200 1278 XML xml 

848 = http//hm.baidu.com GET me iik л tic [М] Ы 200 23459 script 15 
http;//hm.baidu.com http-//ame.baidu.com/product/product html g 200 23459 script js 
http:/se.360.cn Add to scope Б] 200 2624 {ех ini 
httpvAwww.baidu.com spider from here Ы 200 49597 HTML 
http-/www.baidu.com Do an active scan Ы 200 10475 script js 
http iIhm.baidu.com Do a passive scan Ы 200 23459 Script js 





send to Intruder 


| ; send to Repeater 
Send to Sequencer 


Raw HTML) Send to Comparer (request) 


HTTP/1.1 200 OK send to Comparer (response) 


Date: Sat, 07 May 2016 12.01: eee 
Server: Apache/2.2.31 (Unix) | Pequestin browser 
Last-Modified: Mon, 28 Маг 4 Engagementtools 

ETag: 'ea05b3-1779-52116954 show new history window 
Accept-Ranqes: bytes 
Content-Length: 6009 
Connection: close 
Content-Type: text/html 


Add comment 
Highlight > 
Delete item 


Сыл Ж = = L. l b - —. 


3. 进 入 Burp Sequencer 的 Live Capture 面 板 ， 选 中 刚才 发 送 过 来 的 记录 ， 点 击 【Configure ) 
配置 需要 分 析 的 token 或 者 参数 。 





Manualload | Analysis options 


ЕЗ Select Live Capture Request 


send requests here from other tools to configure а live capture. Selectthe requestto use, configure the other options below, then click “Start live capture". 


| Remove | | Request 
| Clear | ee Ta | 


= Г 





| Start live capture | 


ЕЗ Token Location Within Response 


Select the location in the response where the token appears. 
Cookie: 


Form field: 





(ж) Custom location: !From hnETag: to [^ nAccept-] | Configure | 


4. 在 弹出 的 参数 配置 对 话 框 中 ， 选 中 参数 的 值 ， 点击 【OK】 按 钮 ， 完 成 参数 设置 。 


第 十 章 如 何 使 用 Burp Sequencer 


Define custom token locatia 


> Define the location of the token within the response. Selecting the item in the response panel will create a suitable configuration 
automatically. You can also modify the configuration manually to ensure it works effectively. 








r Define start and end - - г |_| Extract from regex group 一 


(в) Start after expression: nETag: " \пЕТад\ "(.*2)nnAccept- 


(O) Start at offset 137 v| Case sensitive 


(e) End at delimiter: “rinAccept 


(.) End at fixed length: 25 


















































C] Exclude НТТР headers gj Update config based on selection below | Refetch response | 


HTTP/1.1 200 OK 
Date: Sat, 07 May 2016 12:01:26 GMT 
Server: Apache/2.2.31 (Unix) 


Last-Modified: Mon, 28 Mar 2016 ШЕ Ке алай 
ETag: "ea05b3-1779-5211695e2ad80 


Accept-Ranges: bytes 
Content-Length: 6009 
Connection: close 
Content-Type: text/html 


«IDOCTYPE HTML PUBLIC '"-//W3C//DTD HTML 4.01 Transitional//EN " 
"httpz/www.w3.arg/TR/html4/loose.dtd"» 
«html» 


| ? I < | + | > | Type a search term ``. 0 matches 
| OK | Cancel | 





5.5 ж [Select Live Capture】， 开始 进 行 参 数值 的 获取 。 


k Burp Suite Professional v1.6.27 - licensed to Larry_Lau 
Burp Intruder Repeater Window Help 


E Burp Sequencer [l 

















Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder Comparer E ? | Live capture (207 tokens) i 


























ve capture | Manualload | Analysis options Pause Copy tokens | [_) Auto analyze (next: 300) Requests: 207 
(?) $е!есї Live Capture Request Stop Savetokens | Analyze now Errors: 0 
Send requests here from othertools to configure a live capture. Selectthe requestto use, config 
Summary Character-level analysis Bit-level analysis Analysis Options 
Remove | # Host | Request - 
Clear — : 
Start live capture 
[2] Token Location Within Response 
Select the location in the response where the token appears. 








6. 当 抓 取 的 参数 值 总 数 大 于 100 时 ， 点 击 【pause】 或 者 【stop】， 这 时 可 以 进行 数据 分 析 ， 
点 击 【Analyze now】 即 进行 数据 的 随机 性 分 析 。 


117 


r Live capture (stopped) W— MÀ 


Pause | Copy tokens | Auto analyze Requests: 524 


Stop | Save tokens | | Analyze now | Errors: 
Character-level analysis | Bit-level analysis | Analysis Options 


Overall result 





The overall quality of randomness within the sample is estimated to be: extremely poor. 
Ata significance level of 1% the amount of effective entropy is estimated to be: 1 bits. 


| Effective Entropy 


The chart shows the number of bits of effective entropy at each significance level, based on alltests. Each significance level defines a minimum 
probability of the observed results occurring ifthe sample is randomly generated. When the probability of the observed results occurring falls 

| below this level, the hypothesis that the sample is randomly generated is rejected. Using a lower significance level means that stronger evidence 
is required to reject the hypothesis thatthe sample is random, and so increases the chance that non-random data will be treated as random. 


= 10% 


Significance level 
| =0.1% 


=0.01% 





| 


7. 等 分 析 结 束 ， 则 可 以 看 到 分 析 结 果 的 各 种 图 表 。 


"in 





Burp Sequencer [live capture #6: htt 


| > | Live capture (stopped) Eoo E 


Fause | Copy tokens | Auto analyze Requests: 524 


Stop | Save tokens | | Analyze now | Errors: 0 


Summary | Character-level analysis | Bit-level analysis | Analysis Options 
x | 


Character Set 


The chart shows the size ofthe character set used at each position. This number is the count of different characters that appear at each position 
within the sample data. 





8. 当 然 ， 我 们 也 可 以 把 获取 的 数据 保存 起 来 ， 下 一 次 使 用 的 时 候 ， 从 文件 加 载 参 数 ， 进 行 数据 


分 析 。 如 下 图 保存 数据 。 


Burp Sequencer [live capture #6: http://home.baidu.com] | 





| ? | Live capture (stopped) H | 


| copytokens | Auto analyze Requests: 524 


Stop — Save tokens | | Analyze now -Analyze now | Errors: Ü 


Summary | Character-level analysis | Bit-level analysis | Analysis Options 


| Summary | Count | Transitions | Character set | 
9. 当 我 再 次 使 用 时 ， 直 接 加 载 数据 进行 分 析 即 可 。 





Target | Proxy | Spider | scanner | Intruder | Repeater | Sequencer | Decoder | Comparer 





| Live capture | Manual load | Analysis options | 





za Manual Load 


This function allows you to load Sequencer with a sample of tokens that you have already obtained, and then pel 






Analyze now 


Tokens loaded: 116 
shortest 10 
Longest 44 
|i [ Pase | | 074328226efd73aa13d6a22022ab3588 
k 15535bb3e0a90f563d8695820150af57 
Load... 18fdí847b4401a8f5d4bf18b361b8d32 
— | 906371b754b7a94c91bb27c2174ec2ce 
| Clear | | 2ez715a4b2e46624aca13c7acfe80cdf 
358eB569878d97ü0fecd3e5388614104f114 
386d13d9513456c/3e6b8841eddc8f6b 
3bB6ac/4b1eb2c8d874fabbd3b434f8c7 
| B7büdddc4b4a3d57bd4ffa7f834aa96f 
78227278a1af577d197550829854b18f 
8813adf4a071cfba388dd8b4b8b4406b 
Gec/accácecebfaaSeb4z21d306/3db2d 
| 9d4fe 1f664dd5fag9c348aa'a&c35abfe 
a28b84daeb83d1aad3e8aü07f89bb08561 
 bd5168d5b1e967597bf6d8bdTeebef2a 
be6e5e1ab6147726ac/1d723a25cf14b6 
cB7f5ac8facb2d02e98e54603627f73d1 
| c785416f2af61215d1a575ac050ca34c 
c/cr68618cfe868785e1e7a210dcd8591 
| dÜfa591b4a8b9bac5a9597af86042963 



































可 选项 设置 (Analysis Options) 


分 析 可 选项 设置 的 目的 主要 是 为 了 控制 token 或 者 参数 ， 在 进行 数据 分 析 过 程 中 ， 需 要 做 什么 
样 的 处 理 ， 以 及 做 什么 类 型 的 随机 性 分 析 。 它 主要 由 令 牌 处 理 (Token Handling) FAIT 
析 (Token Analysis) 两 部 分 构成 。 


° ^ MEE? Token Handling 2-3-4 # | 令 牌 在 数据 分 析 中 如 何 被 处 理 ， 它 的 设置 界面 如 下 图 


Live capture | Manualload | Analysis options 





|? | Token Handling 
[ur] These settings control how tokens are handled during analysis. 


Pad short tokens at (e) Start ( ) End 


Pad with (single character or 2-digit ASCII hex cade) 0 


| | Baseb4-decode before analyzing 
所 示 : 其 
F Pad short tokens at start / end 表示 如 果 应 用 程序 产生 的 令 牌 是 具有 可 变 长 度 的 ， 那 
么 这 些 令 牌 在 数据 分 析 前 都 需要 被 十 充 ， 以 便于 进行 的 统计 检验 。 你 可 以 选择 是 否 填充 
在 开始 位 置 或 每 个 令 牌 的 结束 位 置 。 在 大 多 数 情 况 下 ， 在 开始 位 置 填充 是 也 合适 。 Pad 
With 表示 你 可 以 指 reas an 。 在 大 多 数 情 况 下 ， 数 字 或 ASCII 十 六 进 制 编码 的 
令 牌 ， 用 “0” 卉 充 是 最 合适 的 。 Base64-decode before analyzing 表 示 在 数据 分 析 是 否 
进行 base64 解 码 ， гагнах 了 base64 编 码 的 话 ， 则 需要 勺 选 此 项 。 


° 令 牌 分 析 Token Analysis 主 要 用 来 控制 对 数据 进行 随机 性 分 析 的 类 型 ， 我 们 可 以 选择 多 
个 分 析 类 型 ， 也 可 以 单独 尼 用 或 茶 ha 类 型 级 和 字 节 级 测试 。 有 时 候 ， 执 行 与 启 
用 所 有 分 析 类 型 进行 初步 分 析 后 ， 再 禁用 某 些 分 析 类 型 ， 以 便 更 好 地 了 解 令 牌 的 特点 ， 
或 隔离 由 样品 表现 任何 不 寻常 的 特性 。 талыы: 


|2 | Token Analysis 
m" The options below control the types of analysis thatis performed atthe character level. 


[V] Count 
图 Transitions 


The options below control the types of analysis that is performed atthe bit level. 


图 FIPS monobit ЬЫ Spectral 

[V] FIPS poker [V] Correlation 
|W] FIPS runs [V] Compression 
图 FIPS long run 


其 中 上 面 两 个 选项 是 控制 数据 分 析 的 字符 类 型 级 ， 它 包含 Count 和 Transitions。 Count 是 指 
分 析 在 令 牌 内 的 每 个 位 置 使 用 的 字符 的 分 布 ， кр р н 所 用 字符 的 分 布 很 可 
能 是 大 致 均匀 的 。 在 每 个 位 置 上 分 析 统 计 令 牌 是 随机 产生 的 分 布 的 概率 。 其 分 析 结 果 图 表 如 
"TPT as 


其 中 上 面 两 个 选项 是 控制 数据 分 析 的 字符 类 型 级 ， 它 包含 Count 和 Transitions 。 Count 是 指 
分 析 在 令 牌 内 的 每 个 位 置 使 用 的 字符 的 分 布 ， ich nied bake 所 用 字符 的 分 布 很 可 
能 是 大 致 均匀 的 。 在 每 个 位 置 上 分 析 统 计 令 牌 是 随机 产生 的 分 布 的 概率 。 其 分 析 结 果 图 表 如 
Joe 


summary | Character-level analysis | Bit-level analysis | Analysis Options 





Character set 





Summary Transitions 


Character Count Analysis - Significance Levels 


100% 


10% 


0.1% 
0.01% 
0.001% 


=0.0001% 


D T 2 3 4 5 b 7 8 3 10 11 12131415 Tb 17 18 19 20 21 22 23 24 


Character position 


Transitions 是 指 分 析 样 品 数据 中 的 连续 符号 之 间 的 变化 。 如 果 是 随机 生成 的 样品 ， 出 现在 一 
上 的 字符 是 同样 可 能 通过 在 该 位 置 使 用 的 字符 中 的 任 一 项 中 的 下 一 个 标志 的 改 
变 。 在 每 个 位 置 上 统计 分 析 令 牌 随机 产生 到 变化 的 概 这 。 其 分 析 结 果 图 表 如 下 所 示 : 


下 面 的 几 项 设置 是 用 于 控制 数据 分 析 的 字 节 级 测试 ， 它 比 字 符 级 测试 功能 更 强大 。 尼 用 字 节 
级 分 析 中 ， 每 个 令 牌 被 转换 成 一 组 字 节 ， 与 设置 在 每 个 字符 位 置 的 字符 的 大 小 决定 的 比特 的 
总 数 。 它 包含 的 测试 类 型 有 以 下 七 种 。 


FIPS monobit test 一 一 它 测试 分 析 0 和 1 在 每 个 比特 位 置 的 分 配 ， 如 果 是 随机 生成 的 样本 ，1 
和 0 的 数量 很 可 能 是 大 致 相 等 。Burp Sequencer 记录 每 个 位 是 通过 还 是 没 通过 FIPS 试 验 观 
测 。 值 得 注意 的 是 ，FIPS 测 试 正式 规范 假定 样本 总 数 为 20000 个 时 。 如 果 你 希望 获得 的 结果 
与 该 FIPS 规 范 一 样 严 格 的 标准 ， 你 应 该 确保 达到 20000 个 令 牌 的 样本 。 其 分 析 结 果 图 表 如 下 
所 示 : 


summary | Character-level analysis | Bit-level analysis | Analysis Options 


















FIPS runs test FIPS lang runs test 


FIPS Monobit Test - Significance Levels 


Spectral tests Correlation Compression Bit conversion 


FIPS monobit test FIPS poker test 


100% 


10% 





0.1% 





0.01% 


FIFS pass level 
0.001% 
=0.0001% 
[| 1 2 3 4 5 


FIPS poker test GM TAG | FER PIX] PA PEE. BERE 5 КБ Ф ЩА 
数 ， 计 算 每 个 数字 出 现 16 个 可 能 数字 的 次 数 ， 并 采用 卡 方 校 验 来 评估 数字 的 分 布 。 如 果 样 品 
是 随机 生成 的 ， 这 个 数字 的 分 布 可 能 是 近似 均匀 的 。 在 每 个 位 置 上 ， 通 过 该 测试 方式 ， 分 析 
令 脾 是 随机 产生 的 分 布 的 概率 。 其 分 析 结 果 图 表 如 下 所 示 : 





与 该 FIPS 规 范 一 样 严格 的 标准 ， 你 应 该 确保 达到 20000 个 令 牌 的 样本 。 其 分 析 结 果 图 表 如 下 
А: 


summary | Character-level analysis | Bit-level analysis | Analysis Options 


















FIPS runs test FIFS long runs test Correlation Bit conversion 


FIPS Monobit Test - Significance Levels 


Spectral tests 
FIPS manabit test 


Compression 


FIPS poker test 


100% 


10% 


0.01% FIPS pass level 
0.001% 
=0.0001% 
[| 1 2 3 4 5 





FIPS runs tests 该 测试 将 具有 相同 值 的 连续 的 比特 序列 在 每 一 个 位 置 进 行 划 в, ‚ ж 





后 计算 每 一 个 段 的 长 度 为 1，2，3，4，5， 和 6 以 及 6 以 上 。 如 果 样 品 是 随机 生成 的 ， 那 么 这 些 
段 的 长 度 很 可 能 是 由 样本 集 的 大 小 所 确定 的 范围 之 内 。 在 每 个 位 置 上 ， кага га 
FRAME ХД пу ну} о Lop aT 25 2 E] Re F PT : 


Character-level analysis | Bit-level analysis | Analysis Options 





Summary FIPS monobit test FIPS poker test 


| FIPS runs test FIPS lang runs test spectral tests Bit conversion 


FIPS Runs Test - Significance Levels 




















100% 


10% 





0.1% 





0.01% 


0.001% 
=0.0001% 
0 1 2 3 4 
测试 将 有 相同 值 的 连续 的 比特 序列 在 每 一 个 位 置 进行 划分 成 
段 ， 统 计 最 长 的 段 。 ыш е ， 最 长 的 段 的 数量 很 可 外 —— 


定 的 范围 之 内 。 在 每 个 位 置 上 ， 使 用 此 分 析 方 法 ， 观 罕 令 牌 是 随机 产生 的 最 长 段 的 概 举 。 
分 析 结 果 图 表 如 下 所 示 : 


FIPS pass level 








summary | Character-level analysis | Bitlevel analysis Analysis Options 












FIPS paker test 


FIPS runs test FIPS lang runs test Spectral tests 


FIPS Runs Test - Significance Levels 










Bit conversion 


100% 





10% 





0.01% 


FIFS pass level 
0.001% 
=0.0001% 
0 1 2 3 4 5 





=] fi& ж ЗЕ 89 ° & 3 2845 5 1# ALAR DAT AK ЭЙ, Q = Fë ARAB o XA 
果 图 表 如 下 所 示 : 


Summary | Character-level analysis | Bit-level analysis | Analysis Options 





Summary FIPS monobit test FIPS poker test 


FIPS runs test | FIPS long runs test Spectral tests Correlation | Compression Bit conversion 






Spectral Analysis - Significance Levels 


100% 


10% 


0.1% 


0.01% 


0.001% 


=0.0001% 





Ü 1 2 3 4 5 


Correlation test 一 一 比较 每 个 位 置 具 有 相同 值 的 令 牌 样本 与 每 一 个 位 置 具 有 不 同 值 的 短 令 牌 
样本 之 间 的 烂 ， 以 测试 在 令 牌 内 部 的 不 同 的 比特 位 置 中 的 值 之 间 的 任何 统计 学 显著 关系 。 如 
果 样 品 是 随机 生成 的 ， 在 给 定 的 比特 位 置 处 的 值 是 同样 可 能 伴随 着 一 个 或 一 个 零 在 任何 其 它 
位 的 位 置 。 在 每 个 位 置 上 ， 使 用 此 种 分 析 方 法 ， 观 圭 令 牌 是 随机 生成 的 可 能 性 。 为 了 防止 任 


=] fi& ж ЗЕ 89 ° & 3 2845 5 1# ALAR DAT AK ЭЙ, Q = Fë ARAB o XA 
果 图 表 如 下 所 示 : 


Summary | Character-level analysis | Bit-level analysis | Analysis Options 





Summary FIPS monobit test FIPS poker test 


FIPS runs test | FIPS long runs test Spectral tests Correlation | Compression Bit conversion 






Spectral Analysis - Significance Levels 


100% 


10% 


0.1% 


0.01% 


0.001% 


=0.0001% 





Ü 1 2 3 4 5 


Correlation test 一 一 比较 每 个 位 置 具 有 相同 值 的 令 牌 样本 与 每 一 个 位 置 具 有 不 同 值 的 短 令 牌 
样本 之 间 的 烂 ， 以 测试 在 令 牌 内 部 的 不 同 的 比特 位 置 中 的 值 之 间 的 任何 统计 学 显著 关系 。 如 
果 样 品 是 随机 生成 的 ， 在 给 定 的 比特 位 置 处 的 值 是 同样 可 能 伴随 着 一 个 或 一 个 零 在 任何 其 它 
位 的 位 置 。 在 每 个 位 置 上 ， 使 用 此 种 分 析 方 法 ， 观 圭 令 牌 是 随机 生成 的 可 能 性 。 为 了 防止 任 


summary _Сһагасїег-1еуе! analysis Bit-level analysis Analysis Options 
















FIPS runs test FIPS lang runs test spectral tests 


Bit Compression Analysis - Compression Ratios 


FIPS poker test 





Compression Bit conversion 


=0.1% compressed 


1% compressed 


10% compressed 





100% compressed 


本 章 涉及 诸多 数学 统计 分 析 的 知识 ， 在 表述 或 理解 过 程 中 由 于 知识 水 平 的 限制 可 能 会 存在 错 
误 ， 如 果 有 问题 的 地 方 ， 欢 迎 发 送 邮件 到 10data@hotmail.com, 先 感谢 您 的 批评 指正 。 


第 十 一 章 如 何 使 用 Burp Decoder 


Burp Decoder 的 功能 比较 简单 ， 作 为 Burp Suite 中 一 款 编码 解码 工具 ， 它 能 对 原始 数据 进行 各 
种 编码 格式 和 散 列 的 转换 。 其 界面 如 下 图 ， 主 要 由 输入 域 、 输 出 域 、 编 码 解码 选项 三 大 部 分 
组 成 。 


Burp Intruder Repeater Window Help 














Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts jy ао 





(€) Text С) Hex 2) 





Decode as ... М 


Hash... m 
| Smart decode 


@ Text (С) Hex 














Decode as ... 


Encode as ... 





| Hash ... 








ZEN LT | — 
输入 域 即 输入 需要 解码 的 原始 数据 ， 此 处 可 以 直接 填写 或 粘贴 ， 也 可 以 通过 其 他 Burp 工 具 的 


上 下 文 菜单 中 【Send to Decoder] ; 输出 域 即 对 输入 域 进行 解码 的 结果 显示 出 来 。 无 论 是 输 
入 域 还 是 输出 域 都 支持 文本 与 Hex 两 种 格式 ， 其 中 编码 解码 选项 中 ， 由 解码 选项 (Decode 
as)、 编 码 选 项 (Encode as) ` 3&7] (Hash) 三 个 构成 。 实 际 使 用 中 ， 可 以 根据 场景 的 需要 进 
行 设置 。 对 于 编码 解码 选项 ， 目 前 支持 URL、HTML、Base64、ASCII、16 进 制 、8 进 制 、2 
进 制 、GZIP 共 和 八 种 形式 的 格式 转换 ，Hash 散 列 支 持 SHA、SHA-224、SHA-256、SHA-384、 
SHA-512、MD2、MD5 格 式 的 转换 ， 更 重要 的 是 ， 对 于 同一 个 数据 ， 我 们 可 以 在 Decoder 的 
界面 ， 进 行 多 次 编码 解码 的 转换 。 如 下 图 所 示 : 


Burp Intruder Repeater Window Help 


Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 




















IOjNSGErP90Q231C5719Ag--] @ Text © Hex | ? 





Decode as ... |” 


Encode as ... v] 


Hash ... | 








Smart decode _ 
bE9qTjVHRXJQOU9RWjMxQzU3SWdBZz09 (9 Text © Hex 


Decode as... " | М 


Encode as ... т 

















Hash... |” 


| Ë Smart decode n 








[ Е s: 
| 6245397 1546а564852584а5141553952576а4078517а5533535764425а7а3039 © Text © Hex 


Decode as - |” | 
Encode as .. |Y | 


Hash... 











smartdecode - 


| 4111010001010100010111111101001011010a100001101010101111011101101000a1000000010f100001000001001010010101000000a100d10011001010110101a10100001000011000000110111, @ Text © Hex 
| 











Decode а5... m 
Encode as ... |” 
Hash... E 








[ <Ñ yu | Smart decode _ 
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第 十 二 章 如 何 使 用 Burp Comparer 


第 十 二 章 如 何 使 用 Burp Comparer 
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Burp Comparer 在 Burp Suite 中 主要 提供 一 个 可 视 化 的 差异 比 对 功能 ， 来 对 比分 析 两 次 数据 之 
间 的 区 别 。 使 用 中 的 场景 可 能 是 : 1. 枚 举 用 户 名 过 程 中 ， 对 比分 析 登 陆 成 功 和 失败 时 ， 服 务 
器 端 反 人 馈 结 果 的 区 别 。2. 使 用 Intruder 进行 攻击 时 ， 对 于 不 同 的 服务 器 端 响应 ， 可 以 很 快 的 
分 析出 两 次 响应 的 区 别 在 哪里 。3. 进 行 SQL 注 入 的 盲 注 测试 时 ， 上 比较 两 次 响应 消息 的 差异 ， 
判断 响应 结果 与 注入 条 件 的 关联 关系 。 其 界面 如 下 图 : 


Comparer LJ 








This function lets you do a word- or byte-level comparison between different data. You сап load, paste, or send data here from other tools and then select the comparison you wantto perform. 























Selectitem 1: 
# | Length | Data | Paste 
Load 
Remove 
Clear 
Select item 2: 
# | Length | Data 





Compare ... 


第 十 二 章 如 何 使 用 Burp Comparer 


对 于 Comparer 的 使 用 ， 主 要 有 两 个 环节 组 成 ， 先 是 数据 加 载 ， 然 后 是 差异 分 析 。 Comparer 
数据 加 载 的 方式 常用 的 有 : 从 其 他 Burp 工 具 通 过 上 下 文 菜单 转发 过 来 、 直 接 粘 贴 、 从 文件 加 
载 三 种 方式 。 当 加 载 完 毕 后 ， 如 果 你 选择 了 两 次 不 同 的 请 求 或 应 答 消 息 ， 则 下 发 的 比较 按钮 
将 被 激活 ， 可 以 选择 文本 比较 或 者 字 节 比较 。 如 下 图 : 


Burp Suite Professional v1.6beta -| ns 
Burp Intruder Repeater Window Help 





Larn 














Comparer 


This function lets you do a word- or byte-level comparison between different data. You can load, paste, or send data here from other tools and then select the comparison you want to perform. 

















Select item 1: 
# | Length | Data 
4 137079 HTTP/1.1 200 OKServer: nginxDate: Tue, 03 May 2016 08:00:38 GMTContent-Type: text/htmlProxy-Connection: keep-aliventCoent-Length: 1... | | Load | 
Remove 
С1еаг 
Select item 2: 
















# 








GET hittp:/Avwww.zhaopin.com/ HTTP/1.1Host: www.zhaopin.comProxy-Connection: keep-aliveCa 


F 


che-Control: max-age= 


Accept: text/html, ap... 








Compare ... 


| Words | 
| Byes | 

















如 果 点 击 了 【words】 或 者 【bytes】， 则 进入 比 对 界面 ， 页 面 自 动 通过 背景 颜色 
差异 。 如 下 图 : 
Word compare of #3 and #4 CD EE b b. T m | 日 


Length: 1,111 ° Text () Hex Length: 137,079 


Ko 


(@ Text С) Hex 
НТТР/1.1 НТТР/1.1 à 





Proxy-Connection: keep-alive 
Cache-Control: max-age 


Proxy-Connection: keep-alive 

















(V] Sync views 
其 中 ， 文 本 比较 (words) 是 指 通过 文本 的 方式 ， 比 如 说 以 HTML 的 方式 ， 比 较 两 个 数据 的 差 
异 ; 而 字 节 比较 (bytes) 是 指 通过 16 进 制 的 形式 ， 比 较 两 次 内 容 的 差异 。 如 下 图 ,注意 下 发 不 
同 内 容 的 颜色 标注 。 
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x 
E 
| 


Length: 1,111 


如 何 使 用 Burp Comparer 


С) Text @) Hex 





© 


1 
2 
3 
4 
5 
6 
7 
8 
9 
a 
b 
C 
d 
е 
f 


eh ab eh ch wh = mh = 
чо Qn +£ WHY - © 





45 
61 
31 
68 
= 


54 20 68 74 
6f 70 69 6e 


2e 31 08 оз 


61 6f 70 69 


2d ВЗ et ве 


TO 2d 61 6c 


2 EE °: бе 74 72 
65 3d зо Ш о: ^ 

74 2f 68 6d 6c 28 61 
6f 6e 2f is 68 74 6d 6c 
6c 69 63 61 74 69 6f бе 
2e BJ 2c 69 ва s 67 65 


ш 71 3d 30 


29 
37 
65 
33 
61 
70 
70 
41 
20 


6e 


74 3a 20 


28 БЕ 69 6e 


20 
2e 


41 70 70 
33 36 20 


20 [7] 65 63 


31 2e 


72 
74 
2c 
63 
7a 


30 2e 
69 2f 

2d 45 бе 
64 

63 

68 


74 
2e 
48 
6e 
бе 
69 
6f 


70 
63 
6f 
2e 
65 
76 
6c 


3 ва 


6f 
6f 


7a 
77 


3a A T dt ЯГ де Та 
6f 2 20 48 54 50 
73 За 20 Hn TF TT 


63 ed 08 оа [50] 72 
6f 


бе За 


63 74 69 

65 08 oa 43 

3a 20 64 

65 70 74 

70 70 6c 

B 78 ва 

А е 6d 
65 


> BERE oz 8 7: 


69 6c 
73 
65 


20 43 68 

30 2e 36 33 
зз 36 @@ оз 41 
69 бе 67 3a 
65 2с 73 64 
61 бе 67 75 


68 Б] 71 за 
20 64 Eg 77 


23 4 35 32 32 





61 
78 
20 


20 
63 68 
61 
65 
74 
70 
за 


2е 
6ї 
6b 
65 
67 
78 
69 
70 
30 


Ба 2 


41 
2е 
2е 
35 
69 
65 


2 5 


20 
63 
61 
30 
65 


63 63 
67 7a 


67 


68 08 oa 


67 65 


3a 


GET http-//www.z 
haopin.com/ HTTP 
A.1Host www. 
zhaopin.comPro 
xy-Connection: k 
eep-aliveCache 
-Control: max-ag 
е=0Ассері tex 
tihtml,applicati 
onixhtml+xml,app 
lication/xml;q-0 
.9.image/webp,*/ 
*-q=0.8User-Ag 
ent: Mozilla/5.0 
(Windows NT 6.1 
) AppleWebKit/53 
7.36 (KHTML, lik 
e Gecko) Chrome/ 
31.0.1650.63 Saf 
ari/537.36Acce 
pt-Encoding: gzi 
p,deflate,sdch 
Accept-Language: 


2e 38 08 zh-CN zh;q-0.8 
7a 3d 39 Cookie: dywez-9 
3A 32 30 584192 








Length: 137,079 





НТТР/1.1 200 OK 
Server: nginx 
Date: Tue, 03 Ma 
y 2016 08:00:38 
GMTContent-Typ 
e: text/htmIPr 
oxy-Connection: 
keep-aliventCo 
ent-Length: 1367 
24Last-Modifie 

d: Tue, 03 May 2 
016 08:00:03 GMT 
ETag: "57285a8 
3-21614"Accept 
-Ranges: bytes 
Cache-Control: m 
ax-age-900Expi 
res: Tue, 03 May 
2016 08:15:38 G 
MTServer: 172. 
30.2.25Content 
-Length: 136724 
xIDOCTYPE htm 
dile dii tas 
к=: è” 








Sync views 
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第 十 三 草 数据 查找 和 拓展 功能 的 使 用 


通过 第 一 部 分 十 二 个 章节 的 学 习 ， 我 们 对 BurpSuite 的 基本 使 用 已 经 非常 就 悉 ， 从 这 一 草 开 
始 ， 我 们 进入 BurpSuite 高 级 功能 的 使 用 。 


BurpSuite 高 级 功能 在 界面 布局 上 主要 集中 在 两 大 块 ， 一 是 菜单 栏 ， 另 一 个 是 右 击 菜单 的 
Engagement tools ° 


Burp Intruder Repeater Window Help 
фе [pow Sequencer 
С HTTP history | WebSockets history 


r: Hiding CSS, image and general binary content 








ж. a| Host = Method ju URL | Бааз | — | Status | Length | MIME t... | Extension | Title 


30 http: //infa.pinyin.sogou.com СЕТ /ime кн "d s all. БЛ т 200 2402 HTML php EN*-Eacee—~ 
33 hitp://ping.pinyin.sogou.com GET /2010¢ 










http-//ping.pinyin. sogou.com.. B98685D1521D77628B6F453302E 7C 
34 http-//ping.pinyin.sogou.com GET /getxir— 
35 http-//ping.pinyin.sogou.com GET /pingb пи е пре 
36 http-//ping.pinyinsogou.com GET /pingbj Spider from here 
3T http-//down.3lsoft.com GET help/c 
30 http://tj5.3lsoft.com GET fysqd4 
39 http-//config.pinyin.sogou.... GET fapi/to 


40 http-//tj5.3lsoft.com GET /ѕегуе 


Do ап active scan 






Do а passive scan 
Send to Intruder Ctri+l 
send to Repeater Ctrl+R 













send to Sequencer 

send to Comparer (request) 
send to Comparer (responsa) 
show response in browser 


Request in browser » 





Engagement tools Find references 


Show new history window Discover content 


Add comment Schedule task 
Highlight Generate CSRF PoC 


[alata tam 


我 们 先 来 看 看 菜单 栏 ， 与 日 第 使 用 相关 的 主要 功能 菜单 是 Burp、Intruder、Repeater 下 面 我 们 
就 逐一 学 习 各 个 菜单 的 功能 。 


Burp 


Burp 菜单 下 包含 的 数据 查找 (Search) 、 组 件 状 态 存 储 、 组 件 状态 恢复 三 部 分 。 


=t] Intruder Repeater Window Help 
















Remember settings p | general binary content 


Restore state 





Restore defaults 


Exit 






| Method | URL | Params | Edited | Status | Length | MIME t... | Extension | Title 


a com GET /ime оси. жо s all . J = 200 2402 HTML php EN'-ÉaEé- 


` 


第 十 三 章 数据 查找 和 拓展 功能 的 使 用 


e AUER (Search) 数据 查找 功能 主要 用 来 快速 搜索 Target、Proxy、Repeater 三 个 组 件 


中 的 请 求 和 应 答 消 息 的 内 容 ， 其 界面 如 图 
E eop Sui o DR 


Options Locations Tools 











(.] Case sensitive [ ] In-scope only [V] Request headers [V] Response headers W) Target 
(.] Regex 器 Dynamic update Request body Response body Proxy 
| Go | [_] Negative match (VJ Repeater 





Source Host 4| URL Status Length | Time requested 


Target http://cdn2.ime.sogou.com — /sgim picface cloudkey 201604132023.bin 200 74078 19:44:28 6 六 月 2016 
Target http-//cdn2.ime.sogou.com — /yun pack utf&/yun bbe7bb09cab86203f55d... 200 3656 19:39:07 6 六 月 2016 


Target http-//config.pinyin.sogou.... /api/popup/lotus.php?h-0DFB98685D1521D... 200 278 19:39:26 6 А 2016 
Target http-//config.pinyin.sogou.... /api/toolbox/geturl.php?h-0DFB98685D1521... 200 303 19:40:19 6 六 月 2016 
Target http-//config.pinyin.sogou.... /components/update.php?h=0DFB98685D15... 200 177 19:44:26 6 六 月 2016 
Target http-//config.pinyin.sogou.... /picface/interface/CandBlackList.php?h=0DF... 200 320 19:44:28 6 六 月 2016 
Target http-//config.pinyin.sogou.... /picface/interface/SogouCellMap.php?h=0DF... 200 177 19:44:28 6 六 月 2016 
Target http-//config.pinyin.sogou.... /picface/interface/cell update yun.php?h-0... 200 525 19:44:28 6 六 月 2016 
Target http-//config.pinyin.sogou.... /picface/interface/get picface label list.php?... 200 177 19:44:29 6 六 月 2016 











HTTP/1.1 404 Not Found 

Server: nginx 

Date: Mon, 06 Jun 2016 11:37:38 GMT 
Content-Type: text/html; charset=GBK 
Connection: keep-alive 

X-Powered-By: PHP/5.3.3 
Content-Length: 0 





L? | Ls] = [> J sogou 0 matches 


Search completed 44 results 
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默认 情况 下 ， 当 我 们 打开 功能 界面 时 ， 都 是 空 


的 。 如 果 我 们 在 搜索 框 输入 关键 字 ， 点 击 


[Go] 之 后 ， 下 面 的 列表 中 将 自动 显示 匹配 到 的 所 有 消息 。 默 认 匹 配 时 ， 是 从 HTTP 消 


息 中 的 Host、url、 请 求 消息 头 
字段 。 在 整个 Search 面 板 中 ， 有 三 大 块 设 置 


Dptions 


|_| Case sensitive |_| In-scope only 
L] Regex [_) Dynamic update 


|_| Negative match 


Options 主 要 控制 关键 字 匹 配 的 方式 : 大 小 写 
新 、 反 向 匹配 Locations 主 要 用 于 控制 eae 的 范 


‚ 请 求 消息 Body、 应 答 


消息 头 、 应 答 消 息 Body 中 搜索 匹配 


项 用 于 我 们 控制 对 数据 的 查询 。 


Locations Tools 
[V] Request headers [V] Response headers [V] Target 
[V] Request body W] Response body [V] Proxy 
[V] Repeater 


应 答 消 息 头 、 应 答 消 息 Body 


Tools 主 要 用 于 控制 关键 字 搜 索 的 Burp 工 具 
通过 Options、Locations、Tools 三 者 的 组 合 ， 


感 、 5 ` ЕЙ] & i& A LH AER 


: 请 求 消息 头 、 请 求 消息 Body、 


组 件 的 范围 : Target ` Proxy ` Repeater 我 们 
能 准确 的 搜索 我 们 关注 的 字符 、 脚 本 、 


referer、 备 注 等 信息 。 当然 ，Search 面 板 也 集成 了 Burp 的 横向 传递 功能 ， 当 我 们 找到 或 


发 现 关 心 的 HTTP 消 息 后 ， 


直接 可 传 ie 到 FN 


其 他 的 工具 组 件 中 。 









| Source Host 4| URL | Status | Length | Time requestec | 
| Target http-//config.pinyin.sogou.com — /picface/interface/CandBlackList.php?h-0DFB98685D1521D77628B6F459302... 200 320 19:44:28 6 ARA 
| Target m: wa sre cn tt com Ta php?h= =0DFB98685D1521D77628B6F459302... 200 177 
— http://config. pinyin.sogou.c...8&cellver=20150126|20160206|0 - 
| Target E veg, pinyin. sogou. com perum з I 177 
| Target http-//config.pinyin.sogou.com — /picface/|r Add to scope 269 


Target http-//download.pinyin.sogou... 
| Target http://ime.sogou.com 
| Target nili /fime.sogou.com 


ee Түү | ee a be - . — .... 3. _ . 
< 





Request | Response 


Raw | Headers | Hex 


HTTP/1.1 288 OK 


Date: Mon, 06 Jun 2016 11:39:25 GMT 


Content-Type: application/octet-stream 


Connection: keep-alive 

X-Powered-By: PHP/5.3.3 

Pragma: cache 

Cache-Control: public, must-revalidate 
Accept-Ranges: bytes 


eet eee ition: filename="YunCellList. 


| Target http-//download pinyin S000 ssssdialalaige 













/picface/ 

/руир.9 Do a passive scan 
/pyup.gif} Send to Intruder 
M | Send to Repeater 


Send to Sequencer 

= Send to Comparer (request) 
Send to Comparer (response) 
| Show response in browser 
Request in browser 
Engagement tools 

Copy URL 

max-ak Copy as curl command 


| Copy links 





шш иш шш = 





Send to Spider 322 
Do an active scan 177 











Ctrl+1| 139 


Агу А гусу 一 = | 
Б pn—À „| 





Y 





Save item 
em tk 1 match 





组 件 状态 存储 和 恢复 ， 与 组 件 状 态 和 恢 


存 当 前 Burp 的 状态 ， 


state] "t > Вигр2& 


“ 复 相 关 的 子 菜单 比较 多 ， 分 别 是 : Save state tk 


主要 保存 站 点 地 图 、Proxy 历 史 日 志 、 扫 描 ш 吉 采 和 正在 扫描 的 队 
列 、Repeater 当 前 和 历史 记录 、Suite 其 他 工具 组 件 的 所 有 配置 信息 。 当 我 们 点 击 【Save 


会 提示 我 们 是 否 只 保存 Scope 中 的 数据 


[2| Choose which tools you want to save the state of. Mote that it is not necessary 
— to save the Spider state. The Spider request queues will be automatically 
rebuilt based on a restored target site map and scope configuration. 


[V] Target 
[V| Proxy 
[V] Scanner 
[V] Repeater 


|_| Save in-scope items only 





| Cancel | | Next | 
J] 同时， 也 


会 提示 我 们 ， 是 否 对 存储 文件 的 存在 的 密码 进行 保存 。 你 可 以 选择 不 保存 、 明 文保 存 、 
使 用 主 密码 进行 加 密 保存 三 种 的 任何 一 种 。 如 果 使 用 主 密码 加 密 ， 当 你 在 恢复 设置 时 ， 
Burp 将 提示 密码 没有 保存 或 者 输入 主 密码 。 








|? | Choose which tools you want to save the configuration of. 


[V] Target 
[V] Proxy 
[V] Spider 
Scanner 
[V] Intruder 


[V] Repeater 
[V] Sequencer 
[V] Extender 


[VJ Suite options Uncheck all 


Passwords within configuration options: 
CJ Do not save 


(С) Save in clear text 


(€) Save encrypted using master password: 


| Restore 


state 从 之 前 的 文件 中 恢复 Burp 之 前 保存 的 数据 ， 与 上 面 的 Save state 操 作 相 对 应 。 


使 用 组 件 状态 下 储 和 恢复 的 功能 ， 能 够 帮助 我 们 在 渗透 测试 中 带 来 极 大 的 帮助 。 它 主要 体现 


£ : 


Intruder 


л & О МЮ > 


保存 你 每 一 天 的 工作 空间 和 进度 以 及 问题 的 状态 ， 以 便于 第 二 天 查看 。 

当 系 统 发 生 故 障 或 无 法 测试 时 ， 通 过 存储 的 Burp 状 态 查 看 之 前 的 问题 和 消息 内 容 。 
E 的 文件 ， 你 能 跟踪 已 经 修复 的 问题 。 

通过 所 有 的 归档 文件 ， 对 整个 应 用 系统 安全 问题 分 布 情况 有 总 体 的 分 析 和 评估 。 
通过 Burp 状 态 文件 作为 模板 ， 在 团队 间 共 至 Burp 配 置 和 相关 测试 内 容 。 


Intruder x Ф +] + É) 5 46 >C 9) 48 X BOE o 它 的 菜单 和 对 应 的 功能 如 下 : 


ШИ Ей Repeater Window Help 












































Tard Start attack peater | Sequencer Comparer Options | Alerts | 


Open saved attack 





| TUS : )ptions 
Actively scan defined insertion points 


send to Repeater 

save attack config 

Load attack config 
Raw Сору attack config 


New tab behavior 


Automatic payload positions 





Configure predefined payload lists 


Start attack 开始 发 起 攻击 Open save attack 重新 加 载 之 前 保存 的 Intruder 攻 击 文件 Save 
attack config ` Госа attack config ` Copy attack config， 主 要 控制 Intruder 的 攻击 配置 信 
息 Automatic payload position 主 要 用 于 控制 payload 的 使 用 方式 : 替换 参数 值 或 者 追加 参数 
值 Configure predefined payload lists 用 于 控制 Burp 默 认 的 payload 字 典 值 ， 当 我 们 点 击 此 
菜单 时 ， 会 弹出 payload 字 典 配置 文件 的 界面 ， 如 下 图 所 示 : 

ШЕ Preset Payload Lists 


四 Predefined Payload Lists 


Configure the location of the items that Burp Intruder should use for its 
predefined payload lists. 


(e) Use built-in lists 


( Load custom lists from directory: 














| Select directory ... | 


Copy 





pee TE | 


| Usernames 
| Fasswords 
| short words 
| az 

| A-Z 












































我 们 可 以 选择 一 
个 payload 子 类 型 ， 对 字典 值 进行 修改 。 需 要 注意 的 事 ， 这 里 选择 的 是 payload 文 件 存 放 的 目 
录 ， 当 选择 目录 后 ， 会 目 动 加 载 目 иа 


Repeater 


Intruder 菜 单 主 要 用 于 Repeater 工 具 的 控制 ， 它 的 子 菜单 有 : 
Burp Intruder 721074 Window Help 





sequencer | Dec 


Follow redirections b è Never 





v Update Content-Length 
v Unpack gzip / deflate 


| Target | Pro 


> 


|2) "ano Always 


You can define nne nr mnre navinad sete The niimnar Tr T т< Update Content-Length 
当 执 行 Repeater 操 作 时 ， 自 动 更 新 消息 关中 的 Content-Length Unpack gzip /deflate 解压 压 
缩 文件 Follow redirections 跳 转 控 制 ， 可 以 选择 从 不 跳 转 、 同 一 站 点 内 跳 转 、Scope 内 跳 
转 、 始 终 跳 转 四 种 的 其 中 之 一 Process cookie in redirections 跳 转 的 同时 是 否 处 理 Cookie 
View 主 要 控制 Repeater 面 板 整个 布局 















Process cookies їп redirections 






On-site only 






View In-scope only 





Action 


WE RIE Z 5 ^ RRA A Engagement tools ° 


Intercept | HTTP history | WebSockets history 





Filter: Hiding CSS, image and general binary content 


# á| Host Method | URL | Params | Edited | Status | Length | MIME t... | Extension | Title 
T14 —http-//down.3lsoft com GET fhelp/ck2 html Ü] [] 200 245 HTML html 
715 http:/tj5_3lsof.com СЕТ 









http-//home.baidu.com/resource/r/home/flash.|s 






716  http-/www.baidu.com GET 542 HTML 302 Found 

717 http://www. baidu сот GET Ep 642 HTML 302 Found 

718 —https://www.baidu.com GET Spider from here 102835 HTML c»348?8 à d 
http-//home.baidu.com Do an active scan 9974 HTML ооо Е 
http-//home.baidu.con SET Do a passive scan | 1218 script js | 
http-//home.baidu.com Send to Intruder Ctri+ 8544 script jE 


732 http-//tj5_3lsoft.com GET Send to Repeater Ctrl4R 


send to Sequencer —— 


Response Send to Comparer (request) 


-= Y — aspa, send to Comparer (response) 


ITTP/1.1 200 OF 


Show response in browser 





jate: Mon, Dë Jun 2016 13:31:09 GMT Request in browser 
Serveri Арасће/с. 2.31 (Unix! 了 
yast-Medified: Sun, 15 Aug 2010 16:00:00 Engagement tools d Find references 
iTag: "eaüU017-2-3b8-48ddeceelcüü0ü0" Sh : : 
ow new history window : 
(рад Ee ry Discover content 
;ontent-Length: 857 Add comment Schedule task 
ronnection: close | i 
tTantent-Type: application/javascript Highlight » Generate CSRF Рос 
function CreateFlashíidad, swfurl, wad, Delete item 
rar str = "object classid-W"elsid:d27ed (Clear history fpdownload.macromedia.com/pub/shockwavej/c 
F шүл! height=" " + had + aer id=" " + ic 
str += "<param name-'"allowScriptAccess: Copy URL 
str += "< =\" lityi" lue=",' 
d param namer, que vaya ма цесі Copy as cu command 

str += "paran name="wmode" value=’ "оү : 

Copy links 

2 || < | + | > | Type a search term Py 
Save item 
` S ` x EA 

从 上 图 中 我 们 知道 ， 此 功能 位 于 右 击 菜单 中 ， & Find references ` Discover 


content ` Schedule task ` Generate СРЕ Poc 四 个 子 菜 单 。 


e Find references 是 指 对 选中 的 某 条 Http 消 息 获 取 其 referer 信 息 


> 


3k 数据 查找 和 拓展 功能 的 使 用 


References to http://home.baidu.com/resource/r/homej/flash.]s 


Source Host 


— - — 


HTTP/1.1 200 OF 

Date: Mon, DE Jum 2016 13:31:08 GMT 

Server: Apache/72.-2.31 (Unix) 

Last-Modified: Thu, 19 May 2016 03:00:47 GMT 
ETag: "7-ClB86b--Z5f7-533282e4c85eü0" 
Accept-Ranges: bytes 

Content-Length: 3715 

Connection: close 

Content-Type: text/html 


<!/DOCTFPE HTML PUBLIC "-//W3C//DID НІМІ 4.01 Transitionel//EN" 
"http: //wwnw.w3.:org/IR/hbtmli/loose.dtd"» 

<html> 

shead» 


<meta http-eguiv=" Content-Type" content-"text/html; charset-gh-231-2"» 


| 2 | < || + | > | | Type a search term 


Search completed 


Status 


Length 


Time requested 


= 





3 highlights 


1 results 
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Discover content 是 指 对 选中 的 东 条 Http 消 息 ， 根 据 其 url 路 径 ， 进 行 目录 枚 举 和 文件 枚 
举 操作 。 当 我 们 点 击 后 ， 将 弹出 其 配置 界面 。 


E - P ы 
Б Content discovery: http://home.baidu.com/resource/r/home/ = w 


Control | Config | Site map 
| | -e Target 


Define the start directory for the content discovery session, and whether files or directories should be targeted. 


Start directory: | http.//home.baidu.com/resource/r/'home/ 


Discover: @ Files and directories 





2 Files only 





(2 Directories only 


(V) Recurse subdirectories 


Max depth: 16 


Filenames 

Configure the sources Burp should use for generating filenames to test. 
(V) Built-in short file list 

М Built-in short directory list 


(V] Built-in long file list 
W) Built-in long directory list 





(V] Names observed in use on target site 


(V) Derivations based on discovered items 


File Extensions 


These settings control how the discovery session adds file extensions to file stems that are being tested. 





W) Test these extensions: 








asp, aspx, htm, html, jsp. php 


其 Discover 选 项 有 : 挖掘 文件 和 目录 、 仅 仅 挖掘 文件 、 仅 仅 控 气 目录 《递归 遍历 子 目录 ， 
可 指定 其 层级 或 深度 ) 


Ed LZ (filenames) 选项 有 : Built-in short file list 内 联 的 短文 件 列表 ` Built-in 
short directory list 内 联 的 短 目 录 列 表 、Built-in long file list 内 联 的 长 文件 列表 、Built- 
in long directory list 内 联 的 长 目录 列表 、Names discovered in use оп the target site 
网 站 内 发 现 的 名 称 、Derivations based on discovered item 基 于 已 有 名 称 进行 猜测 。 


同时 ， 如 上 图 所 示 ， 我 们 也 可 以 根据 文件 的 拓展 名 对 文件 类 型 进行 管理 。 


| ? | File Extensions 
These settings control how the discovery session adds file extensions to file stems that are being tested. 
[V] Test these extensions: 


asp, aspx, htm, html, jsp, php | Edit | 


[V] Test all extensions observed in use on target site, except for: 
class, com, doc, exe, gif, gz, jar, jpeg, jpg, mp3, mpeg, mpg ... | Edit | 
[V] Test these variant extensions on discovered files: 


bac, BAC, backup, BACKUP, bak, BAK, conf, cs, csproj, gz, inc . | Edit | 


[V] Test file stems with no extension 


从 上 而 下 依次 的 含义 是 : Test these extensions 测试 这 些 扩展 名 文件 Test all 
extensions observed on target site 不 测试 这 些 扩展 名 文件 ， 这 个 选项 在 我 们 不 知道 站 
点 的 大 体 情 况 下 ， 我 们 可 以 去 除 那 些 我 们 熟悉 的 文件 扩展 名 ， 然 后 去 挖掘 未 知 的 扩展 名 


文件 Test these variant extensions on discovered files 测 试 发 现 这 些 文 件 扩 展 名 的 变 
体 ， 从 图 中 我 们 可 以 看 出 ， 在 测试 备份 文件 的 时 候 ， 这 个 选项 会 非常 有 用 Test file 
stems with no extension 测 试 没有 扩展 名 的 文件 


e 挖掘 引擎 配置 选项 有 : 


|? | Discovery Engine 


These settings control the engine used for making HTTP requests when discovering content. 


Case sensitivity: @) Auto-detect 
(_) Sensitive 


(_) Insensitive 


[V] Add discovered content to suite site map 
[V] Copy content from suite site map 


[V] Spider from discovered content 


Number of discovery threads: 4 


Number of spider threads: 2 


i €f Case sensitivity X 5 4 & ` Add discovered content to suite site map 添加 
空气 结果 到 站 点 地 图 中 、Copy content from suite site map X ?| Targets я, Ж, А 2| 4Z 48 
的 站 点 地 图 中 、Spider from discovered content Ле 442 48 2] x #F 85 A % ^ Number of 
discovery threads4Z iE 4 2442+ RAHE ^ Number of spider threads 87 2x4 FF Z: 
数目 。 


e Schedule task 任 务 时 间 表 任务 时 间 表 的 功能 主要 是 把 当前 选中 的 url 作 为 初始 路 径 ， 然 
后 进行 多 种 任务 的 选择 ， 进 入 任务 时 间 表 进行 执行 。 
Ë Schedule task 






| ? | Select the type of task уои want to гип. 


(e) Scan from a URL 

С) Pause active scanning 
O Resume active scanning 
С) Spider from a URL 

С) Pause spidering 

O Resume spidering 

С) Save state 





| Cancel | | Next | 
JIA? A 


AVA › RIWL Hurl > RT da d ^ ДЕЛА. RAR 5 05 АЕ XE ° 











Generate CSRF Poc 生 成 CSRF 的 POC 此 功能 的 作用 是 ， 依 据 选中 的 http 消 息 ， 自 动 生 
成 CSRF 的 POC 内 容 。 当 我 们 把 POC 的 内 容 保存 为 HTML 即 可 执行 。 


Request to: https-/^www.baidu.com 


.| Params | Headers 


GET /?tn-7908106B8 1 oem dg HTIP/I.1 

Accept: application/x-ms-application, image/jpeg, application/xamltxml, imadge/gif, 
image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, 
application/msword, */* 

Accept-Lanquage: zh-CH 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOWe4d; Trident/4.0; SLCC2; „ШЕТ 
CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; 
-NET4.0E; InfoPath. 3} 

Accept-Encoding: gzip, deflate 

Connection: Feep-Alive 


0 matches 


CSRF HTML: 


shtml- 
</-- (SRF Pot - generated by Burp Suite Professional --> 
shody- 
«form action-"https:;//www. baidu. com "> 
<input type="hidden" name-"tn" value=" 790810684 #955;14ğf95; oema #55; dg" /- 
“input type="submit" value=" Submit request" /- 
</form> 
&/lody- 
</html> 


ü matches 


| Regenerate | | Test in browser | | Copy HTML | | Close | 





在 生成 POC 时 ， 我 们 可 以 对 生成 的 参数 进行 设置 ， 如 图 中 右上 和 角 的 【options】 所 示 。 
"EM CSRF poc generator “ЛИШИ =s 


Request to: https-/^www.baidu.com [2| 


GET /?tn-79081068 l oem dg HITP/1.1 
Accept: application/x-ms-application, image/jpeg, 









[2| CSRF technique: 


imaqe/pjpegq, application/x-ms-xbap, application/w (e) Auto-select based on request features 
Í application/msword, */* Q URL-encoded form 

Accept-Langquage: zh-CHN 

User-Agent: HMozilla/4.0 (compatible; MSIE 8.0; Wiz © Multipart form 

CLR 2.0.50727; .NET CLR 3.5.30728; .NET CLR 3.0.31 с 

_NET4.0E; InfoPath.3) 2 Plain text form 


Accept-Encoding: gzip, deflate 


© Cross-domain XHR (modern browsers only) 


Connection: Eeep-Alive 


| ? | | = | | + | | > | Type a search term [C] Include auto-submit script 
| = 


我 们 可 以 选择 根据 http 特 性 自动 生成 、url 编 码 的 form 表 单 、Mutipart 类 型 的 form 表 单 、 

通 文本 的 form 表 单 、 跨 域 的 异步 请 求 以 及 自动 提交 ， 这 些 选项 中 一 个 或 两 个 ， еы 
置 好 之 后 ， 点 击 左下 角 的 【Regenerate】 重 新 生成 即 可 。 需 要 注意 的 是 ，Mutipart 类 型 的 
form 表 单 和 普通 文本 的 form 表 单 的 选择 是 由 http 消 息 中 包含 的 content-type 决 定 的 。 de Ж 
修改 了 POC 的 生成 设置 ， 则 需要 点 击 左 下 角 的 【Regenerate】 按 钮 ， 重 新 生成 POC。 当 
POC 生 成 之 后 ， 你 可 以 使 用 [CopyHTML] 文本 ， 放 入 html 文 件 中 进行 浏览 执行 ， 也 可 
以 点 击 【Test in Brower】， 在 浏览 器 中 а 0 W 览 执 行 ， 进 行 测 试 。 


CSRF HTML: 
<html> 
<!-- CSRF Pot - generated by Burp Suite Professional --> 
ehodyv- 
<form ee ic pill rar 2 desi Ç f.360.cn/pagetip/req-0" method-"POST"- 
*inp = 
name=" Беш | Show response in browser w 
saü; Uggi 有 6836; F& 3 
30;cO#158 i35;D&£63;D&£35 
;UH$13:&81| To show this response in your browser, copy the URL below and paste F #1lsB;un 
#35;Pa#2T : ES 21;&й41;&#161 
:DD£187;& inta a browser that is configured to use Burp as its proxy. 8155 ;Еы7Е# 
44;Н&#Є3; #97; 6#134;ca#179 
;O0ac#140 httn-//b | | [178;&#155 
| JF burp/shaw/1 C | 
Н ЯЕ ЕТ р р/ | й1зг;&ёйст;1 
&Ё167;&#1 р ;&#Й130;&#174;Һ6& 
#177;xp2& |_| In future, just copy the URL and dont show this dialog | Close | 160;70#172;06#46; 
&Ёй18;П&#1 : °9;6#155;0 
7сЕй124;0 Кадат;ьаст 
;1ПҺ&#132% I56;Y&£5;Df£174; 


wQ6&814;88175;&864;U6E2U8128;U#185;U864; 00859 ;d&fÉlB8:5$42;NES91;D1&£188;5£$175,D5£$175;583;D447;& 
$£141;&5815;&£11;&81850;La&gZl5l;n&fl26;&8134;&4852,S5Sc&lt;&4Éd56;&E1859,LD]JA&£f$19;a&£177;&12136;D&f£17 | 
5;DIgt;g&f25.:&4$23.d2lrDIZ27;Dg162;&4$146.&4813;&64$148;&48177,.LD&£$182.;4&4$215.cD$92;D28131;5£$178;&£81 т 


| Кедепегаѓе | = | Copy HTML | | Close | 











第 十 三 草 数据 查找 和 拓展 功能 的 使 用 


360 空 全 训 蜗 请 8.1 
< Q € Q@http://burp/show/1 
ve tag + D 








机 收藏 去 Fak ure geh 游戏 中 心 外 Links | Links fo D Microso | MSN Fd | Wi 


《| | © [sx | Ф 360 守 航 新 代 安 全 上 网 导航 х | NË burp/show/1 


PJ [Submit request 
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第 十 四 章 BurpSuite 全 局 参数 设置 和 使 用 


在 Burp Suite 中 ， 存 在 一 些 粗 粒 度 的 设置 ， 这 些 设置 选项 ， 一 旦 设置 了 将 会 对 Burp Suite 的 整 
体 产 生效 果 ， 这 就 是 Burp Suite 中 Options 面 板 。 当 我 们 打开 Options 面 板 即 可 看 到 ， 它 是 由 
Connections、HTTP、SSL、Sessions、Display、Misc 六 个 选项 卡 组 成 。 

Быр Intruder Керген Window iod 


Target | Proxy | Spider | Scanner | Intruder — — Decoder "—Y Extender | Options | Alerts 





Connections | HTTP | SSL | Sessions | Display Misc 








ә | Platform Authentication 





| | These settings let you configure Burp to automatically carry out platform authentication to destination web servers. 
a [V] Do platform authentication 
Add | Host № | Type | Username Domain | Domaln host | 
| Е 


| Remove | 


|_| Prompt for credentials on platform authentication failure 


本 章 的 内 容 主 要 包括 : 


e Burp 网 络 连接 设置 (Connections) 
e HTTP 应 签 消息 处 理 设置 (HTTP) 
e SSL# 442 yo BI A (SSL) 

e 会 话 设置 《Sessions ) 

e 显示 设置 (Display) 

e 其 它 工具 设置 (Misc ) 


下 面 我 们 就 依次 来 看 看 每 一 个 选项 卡 包 含 哪 些 详细 的 功能 设置 。 


Burp 网 络 连 接 设 置 (Connections) 


Connections 选 项 卡 主要 用 来 控制 Burp 如 何 来 处 理 平台 认证 、 上 游 代 理 服务 器 、Socks 代 理 、 
超时 设置 、 主 机 名 或 域名 解析 以 及 Scope 之 外 的 请 求 六 个 方面 的 相关 配置 。 当 我 们 打开 
Connections 选 项 卡 ， 从 上 往 下 拖 动 ， 首 先 看 到 的 设置 将 是 平台 身份 认证 〈Platform 
Authentication) ° 


e 平台 身份 认证 (Platform Authentication ) 


Platform Authentication 


€ 
[ur These settings let you configure Burp ta automatically carry out platform authentication to destination web servers. 


[V] Do platform authentication 








Add | à | Type | Username | Domain | Domain host 


| Edit | 
| Remove | 











Í J Prompt for credentials on platform authentication failure 


这 些 设置 允许 你 配置 Burp 自 动 执 行 到 目标 Web 服 务 器 的 平台 身份 验证 ， 不 同 的 主机 可 以 
配置 不 同 的 认证 方式 和 人 证书。 目前 支持 的 身份 验证 类 型 有 : BASIC * NTLMv1 ° NTLMv2 
和 “摘要 ” 式 认证 ( Digest authentication)。 其 设置 界面 截图 如 下 : 


Add platform authentication credentials 
[2| Enter the platform credentials for the specified host. 


Destination host: 


Authentication type: | NTLMV2 


Password: 


Domain: 


Hostname: 





J 其 中 域名 
和 主机 名 字段 只 用 于 NTLMv1，NTLMv2 身 份 验证 。 在 平台 身份 认证 (Platform 
Authentication) 设置 的 最 下 方 有 一 个 Checkbox 选 项 (Prompt for credentials on platform 
authentication failure) ， 如 果 此 项 选中 ， 则 表示 当 遇 到 身份 验证 失败 时 ，Burp 会 显示 一 
个 交互 式 的 弹 窗 ， 提 示 验 证 失败 的 信息 。 


e 上 游 代 理 服 务 蜂 〈Upstream Proxy Servers) 


(2j Upstream Proxy Servers 


m The following rules determine whether Burp sends each outgoing request to a proxy server, or directly to the destination web server. The first rule that 
9 proxy server, create а rule with * as the destination host. 
































[ | | Enabled | Destination hast | | Proxy host ^ ^ — | Proxy port |Authtype ^ |Usemame | 
| 


[ Edit - 














这 些 设置 主要 是 控制 Burp 是 否 会 发 送 请 求 到 上 游 代理 服务 器 ， 或 直 转 向 目标 Web 服 务 
器 。 从 代理 服务 器 配置 的 图 中 我 们 可 以 看 出 ， 这 是 一 个 列表 ， 那 就 表明 我 们 可 以 配置 多 
人 
代理 服务 器 设置 。 这 些 规则 将 按照 顺 奈 ， 并 将 与 目标 Web 服 务 器 相 匹 配 的 m VE 
AE SK IL] o +o JR PD Z: р 6 ° Burp RU ЖА BH ЗЕКЕ) AGE ° 4} 
对 每 一 个 配置 ， 其 界面 截图 如 下 


| Add upstream proxy rule 
|? | Enter the details of the upstream proxy rule. You can use wildcards to specify 
— destination hosts (* matches zero or more characters, ? matches any character 


except a dot). Leave the proxy host blank to connect directly for the specified 
destination host. 


Destination host: 
Proxy host: 


Proxy port: 

















Authentication type: | NTLMy2 | 


Username: 


Password: 


Domain: 


Hostname: 














| OK | | — | 
站 我们 可 以 


使 用 在 目标 主机 输入 框 中 采用 正则 表达 式 ， 使 用 通配符 〈* 零 个 或 多 个 字符 匹配 ? 与 任何 
字符 相 匹配 ， 除 了 一 个 点 ) 。 来 指定 将 所 有 请 求 发 送 到 一 个 代理 服务 器 。 而 对 于 配置 的 
每 个 上 游 代 理 服务 器 ， 我 们 可 以 根据 需要 指定 认证 方式 和 认证 凭据 。 它 支持 的 身份 认证 
类 型 有 : BASIC > NTLMv1 ，NTLMv2 和 "摘要 式 ? 身 份 验证 。 同 样 ， 域 名 和 主机 名 字段 只 
用 于 NTLM 身 份 认证 。 当 我 们 每 配置 完成 一 条 匹配 规则 之 后 ， 它 将 出 现在 上 游 代 理 服 务 
器 的 列表 中 ， 我 们 可 以 在 列表 中 对 其 进行 内 容 的 编辑 和 上 下 顺序 的 调整 。 


e Socks 代 理 


|? | SOCKS Proxy 


These settings let you configure Burp to use a SOCKS proxy. This setting is applied at the TCP level, and all outbound requests will be sent vi 
requests to upstream proxies will be sent via the SOCKS proxy configured here. 


| | 


|_| Use SOCKS proxy 


SOCKS proxy hast: 
SOCKS proxy port: 
Username: 


Password: 


|_| Do DNS lookups over SOCKS proxy 


这 些 设置 允许 我 们 配置 Burp 使 用 SOCKS 代 理 的 方式 进行 所 有 传 出 的 通信 ， 但 此 设置 只 在 
TCP 层 生效 ， 所 有 出 站 请 求 将 通过 这 个 代理 发 送 。 如 果 我 们 同时 设置 了 已 游 HTTP 代 理 服 
务 器 配置 的 规则 ， 则 请 求 上 游 代 理 将 通过 这 里 配置 的 SOCKS 代 理发 送 。 其 请 求 的 匹配 路 
径 依 次 是 : 本 地 --> 上 游 代 理 -->SOCKS 代 理 。 在 使 用 SOCKS 代 理 时 ， 我 们 需要 勾 选 

[Use SOCKS proxy】， 并 提供 代理 的 ip 或 者 主机 名 、 端 口 、 认 证 的 用 户 名 和 口令 (如 
上 图 所 示 ) ° RRNA У [Do DNS lookups over SOCKS proxy】， 则 进行 域名 解 
析 时 ， 将 通过 SOCKS 代 理 去 查询 ， 而 不 会 使 用 本 地 缓存 。 


e 超时 设置 (Timeouts) 


| P. | Timeouts 


These settings specify the timeouts to be used for various network tasks. Values are їп seconds. 


Normal: 120 
Open-ended responses: 10 
Domain name resolution: 300 


Failed domain name resolution: 60 


这 些 设置 主要 用 于 指 we ° 我 们 可 以 对 以 下 超时 项 进行 设置 : 
e 正常 (Normal ) - 此 设置 用 于 大 多 数 网 络 通信 ， 并 确定 Burp 怎 样 放弃 请 求 和 记录 已 发 生 
超时 前 等 待 。 
° кл ( Open-ended responses) - 该 设置 只 用 在 一 个 响应 正在 处 理 不 包含 内 容 长 
度 或 传输 编码 HTTP 标 头 。 在 这 种 情况 下 ，Burp 确 定 传输 已 经 完成 之 前 等 待 指定 的 时 间 间 
隔 。 3. 域 名 解析 (Domain name resolution ) - 此 设置 确定 Burp 如 何 重新 进行 成 功 的 域 
名 查找 ， 如 果 目 标 主机 地 址 频繁 变化 时 需要 设 定 为 一 个 适当 的 低 的 值 。 
e 失败 的 域名 解析 (Failed domain name resolution ) - 此 设置 确定 Burp 多 久 会 重新 尝试 
不 成 功 的 域名 查找 。 


以 上 的 选项 设置 的 值 都 是 以 秒 为 时 间 单 位 ， 如 果 一 个 选项 留 室 ， 那 么 表示 Burp 永 远 不 会 超 
时 。 


° 主机 名 或 域名 解析 


Hostname Resolution 





? 





m Add entries here to override your computers DNS resolution. 
| Add | Enabled | Hostname 4 | IP address 


| Edit | 


| Remove | 


此 项 配置 比较 简单 ， 通 过 这 些 设置 ， 我 们 可 以 指定 主机 名 映射 到 IP 地 址 ， 来 覆盖 本 地 计算 机 
提供 的 DNS 解 析 。 每 个 主机 名 解析 规则 需要 指定 主机 名 ， 并 与 主机 名 相关 联 的 IP 地 址 。 同 

时 ， 每 一 个 规则 可 以 单独 局 用 或 禁用 来 控制 其 是 否 生效 。 当 我 们 在 渗透 测试 中 ， 如 果 使 用 了 
隐形 代理 来 测试 富 客户 端 组 件 ， 此 功能 可 以 确保 请 求 正确 转发 。 


e Scope 之 外 的 请 求 
|? | Out-of-Scope Requests 
= This feature can be used to prevent Burp fram issuing any out-of-scope requests, including those made via the proxy. 
Е |_| Drop all out-of-scope requests 


(€) Use suite scope [defined in Target tab] 


(_) Use custom scope 


这 一 特性 可 用 于 防止 Burp 发 送 任何 超出 Target 面 板 中 设置 的 Scope 范 围 之 外 的 请 求 ， 当 我 
们 需要 保证 没有 请 求 到 不 在 Scope 范 围 内 为 它 是 有 用 的 。 例 如 ， 如 果 我 们 色 选 了 【Drop 
all out-of-scope requests】， 即 使 你 的 浏览 器 使 得 超出 范围 的 目标 请 求 ， 这 些 请 求 也 会 
被 Burp 被 丢弃 。 当然 ， 我 们 可 以 启用 此 功能 为 当前 的 目标 范围 ， 如 图 ， 选 中 【Use suite 
Scope】。 或 者 ， 可 以 使 用 URL 匹 配 规 则 定义 自 定义 范围 ， 选 中 【Use custom scope] 

当 我 们 选中 【Use custom scope】 时 ， 有 界面 将 会 显示 其 相关 URL 匹 配 规则 的 详细 设置 。 
如 下 图 : 


(е) Use custom scope 
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Enabled | Protocol | Hast / ІР range | Роп | File | 
Edit 


Remove 








Paste URL 





Load ... 


Exclude from scope 


| Enabled | Protocol | Host / IP range | Port | File 








A 
= 








logout 
Edit logoff 








Remove exit 


signaut 








Paste URL 


TU 
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fe Target Scope 配 置 类 似 ， 它 也 分 包含 域 和 排除 域 ， 因 其 配置 方式 与 Scope 一 致 ， 此 处 就 
不 在 资 述 。 如 果 配 置 中 有 不 明白 的 地 方 ， 请 参数 Target Scope 配 置 章节 


Session" X Ë 


会 话 处 理 规则 (Session Handling Rules) 





Connections | HTTP | SSL | Sessions | Display | Misc | 
ү 


2j Session Handling Rules 


T You can define session handling rules to make Burp perform specific actions when making HTTP requests. Each rule has a defined scope (for particular tools, URLs or parameters), and can perform actions such as 
w adding session cookies, logging in to the application, or checking session validity. Before each request is issued, Burp applies in sequence each ofthe rules that are in-scope for the request. 


À 


a 
a 


| Enabled | Description | Tools | 





- W) Use cookies from Burp’s cookie jar Spider and Scanner 


Edit 
= 
Duplicate 

Up 

Down | 


To monitor ortroubleshootthe behavior of your session handling rules, you can use the sessions tracer to view in detail the results of processing each rule. 


Open sessions tracer 


如 上 图 所 示 ，Burp 允 许 你 自 定 义 会 话 处 理 规则 的 列表 ， 这 能 让 我 们 细 粒 度 地 控制 Burp 如 何 处 

理应 用 程序 的 会 话 处 理 机 制 和 相关 功能 。 对 于 处 理 规 则 ，Burp 中 规则 的 构成 包括 范围 (规则 

适用 于 ) 和 动作 (规则 做 什么 ) ， 当 我 们 点 击 【Addj】 按 钮 ， 弹 出 的 规则 配置 界面 如 下 图 所 
> 其 中 Details 和 Scope 两 个 面板 的 设置 分 别 对 于 于 上 文 的 动作 和 范围 。 








e 动作 (Rules Action) 


ЕЯ Session handling rule его WWG G. 





"| | Details - Scope 





|2 | Rule Description 


| Rule 1 


[2| Rule Actions 


The actions below will be performed in sequence when this rule is applied to a request. 


| | Enabl.. | Description | | 


Use cookies fromthe session handling cookie jar 


set a specific cookie or parameter value 

Check session is valid » 
Prompt for in-browser session recovery 

Fun a macro 

Run a postrequest macro 

Invoke a Burp extension 





每 个 规则 可 以 执行 一 个 或 多 个 操作 ， 例 如 : 从 Burp 的 cookie jar 中 更 新 Cookies、 验 证 当前 会 
话 、 运行 宏 (预定 义 的 请 求 序列 ) 等 等 。 通 过 创建 具有 不 同 范围 和 操作 的 多 个 规则 ， 您 可 以 
定义 Burp 将 应 用 于 不 同 应 用 程序 和 函数 的 行为 的 层次 结构 。 例 如 ， 在 特定 测试 中 ， 您 可 以 定 
义 以 下 规则 : 对 于 所 有 请 求 ， 从 Burp 的 cookie jar 添 加 cookie ; 对 于 对 特定 域 的 请 求 ， 请 验证 
与 该 应 用 程序 的 当前 会 话 是 否 仍 处 于 活动 状态 ， 如 果 没 有 ， 请 运行 宏 以 重新 登录 到 应 用 程 

序 ， 然 后 使 用 生成 的 会 话 令 牌 更 新 Cookie jar ; 对 于 包含 csrftoken 参 数 的 特定 URL 的 请 求 ， 首 
先 运 行 宏 以 获取 有 效 的 csrftoken 值 ， 并 在 发 出 请 求 时 使 用 此 值 。 在 Details 面 板 中 ，Burp 已 经 
预制 了 七 类 规则 动作 ， 他 们 分 别 是 


1. Use Cookies From the Session Handling Cookie Jar 这 个 配置 的 动作 是 通过 Burp 的 
Cookie.jar 用 来 更 新 请 求 的 cookie 人 信息， 当然 ， 你 可 以 设置 更 新 全 部 的 cookie 还 是 有 选择 
性 的 更 新 。 

2. Seta — Cookie or Parameter Value 这 个 配置 的 动作 是 指定 cookie 或 者 某 个 参数 
的 值 ， 如 果 没 有 设置 的 话 ， 则 在 会 话 中 添加 此 参数 或 者 cookie。 

3. Check Session Is Valid 此 动作 是 检查 当前 会 话 是 否 有 效 ， 如 果 无 效 ， 则 可 选择 地 执行 
下 一 步 的 动作 以 获得 新 的 有 效 会 话 。 或 者 ， 我 们 可 以 将 Burp 配 置 en RISES 
话 ， 这 有 助 于 避免 在 应 用 程 友 发 出 乡 余 的 请 求 gables 中 2 部 分 所 示 ==) 。 为 了 确定 当 
前 会 话 的 有 效 性 ，Burp 通 казабы 个 请 求 。 这 些 请 求 可 能 是 (== 下 图 中 1 部 分 所 
示 ==) : а) 当前 的 会 话 请 求 b) 执行 宏 脚本 


Session handling action editor - Rule 1 


| ~ | This action checks whether the session is valid, by either issuing the current request or running a predefined macro (sequence of 
requests), and inspecting the response. Ifthe session is invalid, you can optionally perform a further action ta obtain a new valid session. 


Make request(s) to validate session: 
(ж) Issue current request 


С) Run macro: 


| | Validate session only every 10 requests 


mine Session va 
Location(s): |_| HTTP headers 


[ ] Response body 
W) URL of redirection target 


Match type: (e) Literal string 

G Regular expression 
Case-sensitivity: = Sensitive 

(e) Insensitive 
Match indicates: (e) Invalid session 


(С) Valid session 


Define behaviour dependent on session validity: 
If session is valid, dont process any further rules or actions for this request 
= If session is invalid, perform the action below: 


| Run a macro |v 


| OK | | Cancel | 


当 Burp 发 出 请 求 ， 并 验证 了 会 话 的 有 效 性 之 后 ， 将 不 再 做 下 一 步 动 作 ; 如 果 运 行 了 宏 ° 
则 Burp 将 进一步 检查 请 求 的 应 答 消 息 。 为 了 准确 地 确定 会 话 有 效 性 ， 我 们 通常 将 Burp 检 
查 响应 配置 为 搜索 表达 式 ， 其 搜索 范围 为 《== 上 图 中 3 部 分 所 示 ==) : a)HTTP 响 应 头 
b)HTTP 响 应 体 c) 任 何 重 定向 目标 的 URL 除了 范围 外 ， 在 设置 正则 匹配 /字符 匹配 的 字符 
串 同 时 ， 我 们 也 可 以 匹配 大 小 写 是 否 敏 感 、 会 话 是 否 有 效 、 如 果 会 话 失效 ， 需 要 做 的 下 
一 步 动 作 是 什么 等 操作 。 关于 会 话 失 效 后 的 下 一 步 操作 ，Burp 中 预制 了 两 个 类 型 ， 如 下 
图 所 示 : 





Define behaviour dependent on session validity: 


If session is valid. don't process any further rules or actions for this reques 
t session Is valld, dont process any tunner rules ar actions тог this request 


L] If session is invalid, perform the action below: 


Run a macra 
































a) 
运行 宏 b) 从 浏览 器 内 部 恢复 会 话 针对 于 这 两 类 操作 ， 会 在 接 下 来 的 章节 中 描述 ， 此 处 不 


. Prompt For In-Browser Session Recovery 这 个 配置 的 动作 是 针对 于 会 话 失效 后 ， 从 
浏览 器 内 部 进行 会 话 恢复 的 。 在 会 话 恢复 时 ， 需 要 使 用 Proxy 代 理 的 请 求 记录 信息 ， 如 果 
使 用 yesh He ， 则 浏览 器 < 与 Burp 需 要 一 致 。 

. Run a Macro 在 Burp 中 ， 宏 是 一 系列 顺 友 所 的 Burp 操 作 的 总 和 ， 预 先 定义 好 的 ， 在 
Session 中 被 运行 ， 用 于 会 话 规则 的 处 理 。 宏 运行 后 ，Burp 根 据 最 终 的 宏 响 应 报 文 来 选择 
更 新 当前 正在 处 理 的 请 求 中 eo o 至 于 宏 的 定义 和 设置 在 接 下 来 的 章节 中 会 
专门 描述 ,此 处 仅 做 简要 介绍 。 当 我 们 在 添加 Rules Action 时 选择 了 “Run a Macro” 项 ， 则 
弹出 的 宏 配 置 界面 如 下 图 所 示 : 


第 十 四 章 BurpSuite 全 局 参数 设置 和 使 用 


GA This action runs a predefined macro (sequence of requests) and optionally updates parameters and cookies in the current request based 
on the result of the macro. 


Select macro: 
d 


Edit 


Mote that the request currently being processed by this session handling rule will still be issued, so the macro should not include this 
request unless itis necessary to issue it twice. 


Update current request with parameters matched from final macro response 
(e) Update all parameters except for: 


e Update only the following parameters: 


| Edit 


[| Tolerate URL mismatch when matching parameters (use for URL-agnostic CRSF tokens) 


Update current request with cookies from session handling cookie jar 
(ж) Update all cookies except for: 


L 


t3 Update only the following cookies: 


a 


am After running the macro, invoke a Burp extension action handler: 


【| B 





Ad 【Add】 则 添加 一 个 宏 ， 选 择 某 个 宏 记录 ， 点 击 【Edit】 则 可 以 对 宏 配 置 进 行 编辑 。 
其 设置 界面 如 下 图 : 


159 


Tw 3t BurpSuite 全 局 参数 设置 和 使 用 


Macro Editor 


Use the configuration below to define the items that are included in the macro, and the order they will be issued. You can configure how parameters and cookies аге handled for each item. You сап also test 
the macro to confirm itis working correctly. 


и | 
Macro description: | Macro 1 


Macro items: 





HTTP/1.1 200 OK 

server: bfe/1.0.8.18 

Date: Thu, 10 Nov 2016 08:00:00 GMT 

Content-Type: baiduàpp/json; v6.27.2.14; charset=UTF-8 

Content-Length: 95 

Connection: keep-alive 

Cache-Control: private 

Expires: Thu, 10 Nov 2016 09:00:00 GMT 

Set-Cookie: _ bsi-25898442762608212052 00 133 И М 1 0301 COll N N N 0; expires=Thu, l10-Nov-16€ 08:00:05 GMT; domain-www.baidu.com; 
path-/ 





jQueryl10208375628953767122 1478748340481 ( ("q":"","p":false,"bs":"","csor":"0","g":[],"s":[]1)): 











上 图 中 宏 的 名 称 、items、 请 求 和 应 答 消 息 等 简单 关注 即 可 ， 需 要 重点 关注 的 是 
[configure item】 按 钮 中 对 参数 的 设置 。 当 我 们 点 击 此 按钮 ， 打 开 宏 参数 的 配置 界面 : 
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Configure Macro Item: GET request to https://www.baidu.com/his?wd=ë&from=pc_web&rf=38/hisdata=&Json=18p=3... 


(2j Configure Macro Item 


Configure how cookies and request parameters are handled for this macro item. 


Cookie handling 
ЕЛ Add cookies received in responses to the session handling cookie jar 


м] Use cookies from the session handling cookie jar in requests 


Parameter handling 


| Use preset value | "| 
| Use preset value b 


| Lise preset value был 


hisdata Use preset value = 


json | Use preset value B 


Custom parameter locations in response 


From [' bs" "]to["0""q] 





此 界面 上 已 经 对 请 求 报 文中 的 参数 和 cookie 自 动 提 取出 来 ， 按 照 元 素 分 别 展 示 ， 同 时 ， 界 
面 下 半 部 分 为 客户 化 参数 设置 ， 可 以 自 定 义 自 己 想 要 的 参数 ， 并 从 应 答 报 文中 提取 参数 
的 值 。 


J 


Define Custom Parameter WE 





(2j Define Custom Parameter 


Configure the details ofthe custom parameter location. You need to specify the name that is used for this parameter in 
subsequent macro requests, and the location within this response from which the parameters value should be derived. 


= rrr 


Parameter name: 4 


| | Extracted value is URL-encoded 


[2 | Define the location of the parameter value. Selecting the item іп the response panel will create а suitable configuration 
- automatically. You can also modify the configuration manually to ensure itworks effectively. 

















М] Define start and end 4 3 [< Extract from regex group 

(ж) Start after expression: “q” p' qx p'u*? bstn "csor 
| C) Start at offset 433 Case sensitive | 

a е 

(e) End at delimiter: "bs": "свог" 
| (.) End at fixed length: = ' 
| | 
) |_| Exclude HTTP headers [V] Update config based on selection below | Refetch response al { 


HITP/1.1 200 OK 

Server: ПЕРУ П. АТИ 

Date: Thu, 10 Nov 2016 08: 00:00 GMT 

Content-Type: һаї1їйпцАрр/1воп; v5.27.2.142; charset=UTF-8 

Content-Length: 95 

Connection: keep-alive 

Cache-Control: private 

Expires: Thu, 10 Now 2016 09:00:00 GMT 

set-Cookie:  bsi=2589442762608212052 00 133 N N 1 0301 CUll N N M 0; expires=Thu, 10-Nov-16 
1 08:00:05 GMT; domain=www.baidu.com; path-/ 


jQueryll0208375628853767122 1478748340481 ({"ц":"","р": "Ъз":""," "erus rne poe poke 

















Omatches | 


| OK | [ Cancel) 


EER 中 ， 当 我 们 鼠标 双击 1 处 时 ，2 和 3 处 会 自动 设置 提取 数据 的 段 ， 我 们 只 LAE ARE T 5 
单 填写 参数 的 名 字 即 可 完成 常用 的 宏 参 数 设 置 。 设置 完 宏 之 后 ， 当 宏 运 行 时 ， 其 作用 的 
it, BT Session Scope 的 设置 。 

Run a Post-Request Macro Post-Request Z oe I 于 多 步骤 测试 的 场景 ， 例 如 : 后 
一 步 的 测试 数据 依赖 于 上 一 步 的 请 求 结果 。 在 这 些 场景 下 ，Post-Request 宏 的 使 用 会 帮 
助 你 完成 参数 值 的 自动 化 地 填充、fuzz、scan 等 。 

Invoke a Burp Extension 这 个 配置 的 动作 是 Burp 的 拓展 插件 ， 来 对 当前 会 话 数据 进行 
处 理 。 此 处 调用 的 插件 ， 必 须要 先 在 Burp 的 插件 中 心 进 行 注册 。 关 于 Burp 插 件 ， 请 阅读 
«Burp Suite 应 用 商店 插件 的 使 用 》 章 节 。 


g 


| Е 











8. ЖЮ (Scope) 
— handling rule edito WfffERDÇIVCWWIiwwwww——n w 


2 | Tools Scope 
Selectthe tools that this rule will be applied to. 








(VJ Target (V) Scanner (VJ Repeater 
(VJ Spider [V] Intruder (V) Sequencer 
|_| Extender |_| Proxy (use with caution) 


2 | URL Scope 
Use the configuration below to control which URLs this rule applies to. 
C) Include all URLs 


() Use suite scope [defined in Target tab] 


(е) Use custom scope 


5 
о. 
© 
a 
Ф 
— 
i 
e 
o 
т 
m 





Add Enabled | Protocol | Host/ IP range | Port | File 


Edit _ 


Remove 


її 


Paste URL 


| Paste URL | 











Load... 





rm 
>< 
o 
= 
= 
o 
3 
wn 
e 
о 
Š š 
Ф 





Add Enabled | Protocol | Host/IP range | Роп | File 
Edit 
Remove 


Paste URL 











"il 


Load... 





(2) Parameter Scope 


You can restrictthe rule to requests containing specific parameters if required. 








|_| Restrict to requests containing these parameters: v 


| OK | Cancel 











-— 22 月 


而 对 于 Burp 做 出 的 每 个 请 求 ， 它 在 Scope 中 定义 规则 在 哪些 请 求 的 范围 内 ， 并 且 按 顺 友 

执行 所 有 这 些 规则 的 动作 (除非 条 件 检查 动作 确定 不 应 该 对 请 求 ) 。 每 个 规则 的 范围 可 
以 基于 正在 处 理 的 请 求 的 以 下 特征 来 定义 ， 在 Scope 面 板 中 共 分 为 以 下 三 类 : 1. 正 在 发 
送 请 求 的 Burp 工 具 (Tools Scope) ， 包 含 Burp 的 各 个 党 用 工具 组 件 ， 例 如 : Target ^ 

Scanner、Proxy、Intruder 等 。2. 请 求 的 网 址 (Urls Scope) ， 包 含 所 有 的 URL 地 址 、 

指定 的 作用 于 、 自 定义 作用 域 三 种 方式 ， 其 配置 与 Target 类 似 。 
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o MN 


Specify a regular expression to match each URL component, or leave blank to 
© indude all URL= | = match any item. An IP range can be specified instead of a hostname. 













[2] URL Scope 


Use the configuration belo Д. 


| Add URL to include i 


(.) Use suite scope [defineq. Protocol: НТТР 


Host ог ІР range: ‘www baidu.com | 
Port: 80 | 
php| 


(ж) Use custom scope 

















Include in scope 











| Cancel | 





3. 请 求 中 的 参数 名 称 (Paramters Scope) ， 当 选中 此 项 时 ， 点 击 【Edit】 按 钮 即 可 对 参 
数 进行 配置 ， 如 下 图 所 示例 : 


Exclude from scope 





| Add | 
[ Em | 
(Remove | 
| Paste URL | 


Paste URL 





Load... 






Parameter Scope 


You can restrict the rule to requests containing specific р 
“№, Restrict to requests containing’ | : 
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配置 完毕 后 的 Scope 堆 图 大 体 如 下 图 所 示 : 


E Session handling rule editor ——— s sr c l- 





Use the configuration below to control which URLs this rule applies to. 


(СС) Include all URLs 
C) Use suite scope [defined in Target tab] 


(ж) Use custom scope 


а 
ы 
= 
cL 
m 
= 
(л 
m” 
e 
= 
m 


Add | | Enabled | Protocol Host IP range | Port | File 


www.baidu.cam 


Edt 


Remove 


d 


Paste URL | 


Load... 


eR. 
NN 


Exclude from scope 


Add | Enabled Protocol Hast IP range 
Edit 


Remove 


її 


Paste URL | 


| 


Load... 


| 


(2) Parameter Scope 


You can restrict the rule to requests containing specific parameters if required. 


[vJ Restrict to requests containing these parameters: 


51D21234563442 | Edit | 





配置 完成 后 ， 会 话 处 理 规则 将 对 作用 域 的 Burp 工 具 组 件 中 的 会 话 进行 处 理 ， 例 如 ， 如 何 配置 
了 Proxy， 则 通过 Proxy 的 会 话 ， 可 以 通过 此 面板 下 方 的 【open sessions tracer】 进 行 会 话 跟 
ко to F р: 
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Session handling tracer 


Warning: This tracer imposes a processing and storage overhead, and should only be used when —— 
troubleshooting issues with session handling rules. | Hide warning | 


Requests handled 


11:47:44 10 -— А 2016 h http.gianclick.baidu.comvv.gif?pid=3044ref=tingbox&brows... 
11:47:44 10 3- — А 2016 http-//nsclick.baidu.cam.gif?pid-304 &ref-tingbox&brows er... 
11:48:44 10 十 一 月 2016 гоху http:play.baidu.com/statage 

11:48:44 10 3- — А 2016 http-//nsclick.baidu.com.gif?pid-304 &ref-tingbox&brows er... 
11:48:44 10 十 一 月 2016 | http: — baidu.com^.gif?pid-3ü04&ref-tingbox&brows... 


Events 


Applying rule: Use cookies from Burp's cookie jar 


Event detail 


| Request | Response | Info | 
[Raw [ Params | Headers | He | 


GET request to /maamonitar/v.qif 


from pcweb 

product music 

ua Mozilla%2F5.0%20(Windows %20NT%206.1)%20Apple... 
timestamp 13_7181226770399556 

listen_type 8 


Body encoding: 


[?) | Pause | | Clear | | Close | 





Cookie Jar 


Burp 通 过 维护 Cookie jar 来 维护 你 访问 过 得 所 有 web 站 点 的 cookie 信 息 ，Cookie jar 的 信息 在 
Burp 的 所 有 工具 组 件 之 间 是 数据 共 译 的 。 


? Cookie Jar 


Im Burp maintains a cookie jar that stores all ofthe cookies issued by visited web sites. Session handling rules can use and update these cookies to maintain valid sessions) 
usethe settings below ta control how Burp automatically updates the cookie jar based on traffic fram particular tools. 


Monitor the following tools’ traffic ta update the cookie jar: 


[М] Proxy [V] Scanner [V] Repeater [JV] Spider 
W] Intruder [V] Sequencer [V] Extender 


| Open cookie jar | 


我 们 可 以 通过 上 图 中 的 名 选项 配置 ， 来 指定 Cookie jar 在 哪些 工具 组 件 之 间 生 效 。 当 设置 完毕 
后 ， 这 些 工具 组 件 的 流量 数据 更 新 ， 会 保证 Cookie jar 的 数据 也 一 致 性 的 更 新 。 同 时 ， 我 们 也 
可 以 点 击 下 方 的 【Open cookie jar】 按 钮 ， 来 做 cookie 信 息 的 手工 维护 。 


To monitor or troubleshoot the behavior of your session handling rules, you can use the sessions tracer to view in detail the results of processing each rule. 


| Open sessions tracer | 


Cookie jar viewer 


















Edit cookie 










| Domain | Name | value | Expires | | 


| Remove cookie | 
| Empty cookie jar | 









Cookie Jar 









Burp maintains a cookie jar that stores fthe cookie 
use the settings below to control ho urp autamatical 


©) (5) 


Cookie editor 








Monitor the following tools’ tra o Update the cookie ja Domain: config. pinyin.sogou.com 


[V] Proxy 图 Scapffer [W] Repeater [W] Sp Нап IPLOC 
[V] Intruder W] S@quencer [V] Extender 









| Close | 





| | ө 

Open cookie jar i 
| OK | 

(2) Масгоѕ 

Ж (Macros) 


在 会 话 处 理 规则 章节 中 ， 我 们 队 宏 的 定义 已 经 做 了 初步 的 描述 ， 现 在 我 们 就 来 讲 一 讲 Burp 的 
宏 的 使 用 。 Burp 中 宏 的 定义 是 : 一 个 或 者 多 个 请 求 的 预定 义 序列 ， 其 本 质 是 一 个 或 者 多 个 请 
求 ， 按 照 一 定 的 顺序 组 成 并 按照 顺序 执行 的 操作 集合 的 总 称 。 典 型 的 宏 的 使 用 场景 有 : ay 
йүн nisi aeiaai ч курч анн рн уд 


ht aa TEM TA AZ P > RAY 37 ес 
RARE ZAARA E ， 用 于 结果 的 验证 。 除了 基本 的 请 求 序列 外 ， 包含 每 


— 求 相 关 的 cookie、 请 求 参 数 、 数 据 依赖 等 配置 项 。 1, 宏 的 维护 


>] Macros 


四 А macro is a sequence of ane or mare requests. You can use macros within session handling rules to perform і 


| Add | 
| Edit | 
| Remove | 
| Duplicate | 








上 图 为 宏 的 维护 界面 ， 通 过 【Addj `> [Edit] ` [Remove] 248 > RMT AREATA 

" 修改 和 删除 操作 。 当 有 多 ee eat a 
， 来 控制 宏 执 行 的 — 2. 宏 的 新 建 和 修改 新 建 是 新 增 一 个 宏 ， 修 改 是 对 宏 列 表 中 

біце 行 修改 ， 其 界面 和 操作 类 似 。 此 处 仅 以 新 建 为 例 ， 来 讲述 宏 的 使 用 。 当 我 们 
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点 击 【Add】 按 钮 来 新 建 一 个 宏 ° i he ie BAS RAR о 


EN Macro Editor — ^  —Í | = 


(p rona 


Use the configuration below to define the items that are included in the macro, and the order they will be issued. You can configure how parameters and cookies are handled for each item. You can also test 
the macro to confirm it is working correctly. 





Macro description: Macro 3 


Macro items: 





# | Host | Method URL Status Cookies received Derived parameters Configure item 
| c3 | 
Macro Recorder - Macro 3 x Move up 
p| were Resear]  s— cem | 

















Select the items from the proxy history that you wish to include in the macro, and click "OK". Note that to record a macro now using your Intercept is off = Remove item 
browser you will needto ensure that proxy interception is turned off. 











| Method | URL 

http://upctl.360.cn /safe_update.php Ë 
http://10.152.21.215:8080 /EntClient.cab?t=777 &mid=7065d... LJ 
http-//cdn.weather.hao.360.cn /ѕед api weather info.php?app-fi... Ч 
http://10.152.21.215:8080 Ipush/EntClientPush.cab?t-7 148... E 
http://10.152.21.215:8080 /EntClient.cab?t=388&mid=e836cb... 加 
http:/10.152.21.215:8080 Ipush/EntClientPush.cab?t-155&... Ë 
http:/updatem.360safe.com N3/safeup_miniup.cab?autoupdat... EJ Record macro 
http:/updatem.360safe.com N3/safeup miniup.cab?autoupdat... EJ 
http-//md.openapi.360.cn llis;get?product-360tray&version-z1 Ч Re-analyze тасго 
http://q.soft.360.cn /get_desc.php?appver=v2&type=d... Í J k. 

u— кин — w m B matches Test macro 

















OK | Сапсе! 


言 息 的 录入 界面 为 图 中 Macros Editor， 而 图 中 的 Macros Recorder @ A 15 {4710.4 ° 5 
eink 操作 时 ， 可 以 选择 一 条 或 一 组 的 请 求 记 录 ， 7 Ж 的 基础 。 








(2) Macro Recorder 


Select the items from the proxy history that you wish ta include in the macro, and click "OK". Note that to record a macro now using your | Interceptis off | 
browser you will need to ensure that proxy interception is turned off. 


Filter: Hiding CSS, image and general binary content 


# «| Host Method | URL 


http-//q.soft. 360.cn P Ідеї desc.php?appver-v2&type-d 
http-//q.soft. 360.cn Ідеї desc.php?appver-v2&type-d 
http-//pscan.f.350.cn | isafe update.php 
http-//q.leak.360.cn i iqm/üec3bede21327f/15a/826e887... 


Ре гат f 350 rn ub izafe nnndate nhn 


ЕШ @  (@ ЕСТЕ 国 O 国 





HITP/l.l 100 Continue 


HTTPz71.1 200 ПЕ 

Date: Fri, 11 Nov 2016 01:52:00 GMT 

Server: Apache 

X-Powered-By: PHP/5.2.5 

Cache-Control: max-acge=0 

Expires: Fri, 11 Nov 2018 01:52 GMT i 


kas ? || < || + | > | Type a search term 0 matches 





de FPR AR ^ ЖЕД 2] 1B~220 i5 REA S7 P] Ra [ОК] ЖЕЖ] › MBBS 
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Macro Edi Configure Macro Item: POST request to http://q.soft. 360.cn/get_desc.php?appver=v28itype=desc&mid=7065d72c1426... mm pa 









(2) Configure Macro Item 


Configure how cookies and request parameters are handled for this macro item. d cookies are handled for each item. You can also test 


Cookie handling 












(VJ Add cookies received in responses to the session handling cookie jar 


W) Use cookies from the session handling cookie jar in requests 1 = i 


Parameter handling | D erived paramete | 
I ' [A 
| appver Use preset value "| v2 Move up 
Move down 
type Use presetvalue "| desc Iv 
" Remove item 

mid Use preset value M 7065d72c142644444444444447 

from Use preset value "| 360Fuck.exe 

Use presetvalue "| Service %09sppuinotify.dll%09sppuinotify%092%! 




















> 
















































Re-record macro 
таці | | Value derived тот | А . Re-analyze macro 








Y 





Edit 0 matches " Test тасго 











R — = _ 
— OK Cancel 














d -— 
当 我 们 点 击 【configure Item 按钮 时 ， 即 弹出 参数 配置 界面 (如 上 图 ) 。 其 配置 界面 分 上 下 
两 个 部 分 ， 上 部 为 图 中 1 所 示 ， 主 要 是 对 已 有 参数 值 的 设置 ， 下 部 为 图 中 2 所 示 ， 我 们 可 以 根 
据 实 际 场景 的 需要 ， 添 加 自 定 义 参 数 和 参数 值 。 完 成 了 如 上 的 设置 之 后 ， 我 们 点 击 【OKj】 按 
钮 ， 则 一 个 宏 已 经 被 正确 的 创建 。 3. 宏 的 使 用 完成 宏 的 设置 之 后 ， 下 面 我 们 就 看 看 宏 在 渗透 
测试 中 通常 是 被 如 何 使 用 的 。 在 会 话 处 理 规则 (Session Handling Rules) 章节 中 我 们 知道 ， 

置 【Rule Actions】 时 有 Run a Macro ` Run a Post-Request Macro 两 个 选项 ， 当 我 们 设 
置 了 其 中 的 选项 ， 针 对 于 当前 会 话 ， 在 作用 域 的 范围 内 ， 宏 就 会 生效 。 无 论 你 设置 了 哪 种 类 
"PA ' 其 使 用 的 数据 处 理 逻 辑 大 体 如 下 图 所 示 : 


Session — esse a action Bator - Rule 1 








This action runs a predefined macro (sequence of requests) and optionally updates parameters and cookies in the current request based 
оп the result of the macro. 


Select macro: 





[ ada | | Macro 4 


| Edit | 





Mote that the request currently being processed by this session handling rule will still be issued, so the macro should not include this 
request unless itis necessary to issue it twice. 


[vJ Update current request with parameters matched from final macro response 


(ж) Update all parameters except for: 


Еа | 
E3 


|_| Tolerate URL mismatch when matching parameters (use for URL-agnostic CRSF tokens) 


- Update only the following parameters: 


[М] Update current request with cookies from session handling cookie jar 


(ж) Update all cookies except for: 


| Edit | 
| Edit | 





(D Update only the following cookies: 


Í J After running the macro, invoke a Burp extension action handler: 











| OK | | Cancel | 

其 中 图 中 1 所 示 为 通过 宏 应 答 的 响应 更 新 参数 的 值 ， 我 们 可 以 全 量 更 新 参数 值 也 可 以 部 分 更 新 

参数 值 ; 图 中 2 所 示 为 更 新 Cookie 的 值 ， 同 样 ， 我 们 也 可 以 全 量 更 新 参数 值 也 可 以 部 分 更 新 参 
数值 ; 图 中 3 所 示 为 执行 宏 之 后 ， 还 可 以 执行 Burp 的 插件 ， 需 要 执行 的 插件 即 在 此 处 配置 





显示 设置 (Display) 


和 其 他 的 软件 一 样 ，Burp 也 存在 显示 设置 ， 作 为 软件 与 用 户 习惯 交互 的 接口 。Burp 的 显示 设 
置 主要 包含 : 用 户 界 面 (User Interface) 、Http 消 息 显示 (HTTP Message Display) 、 字 符 
集 设置 (Character Sets) RA д mè% (HTML Rendering) 


° 用 户 界 面 主要 用 来 设置 字体 和 界面 风格 





Connections | HTTP | SSL | Sessions | Display 





12 | User Interface 


m These settings let you control the appearance af Burp's user interface. 
Font size: | 12 + 


Look and feel: | Nimbus Y 


Windows 风 格 、Windows 经 典 风 格 、Nimbus 等 ， 修 改 配置 后 ， 需 
e Http 消 息 显 示 主 要 用 来 设置 其 他 Burp 工 具 组 件 中 http 消 息 的 显示 字体 、 高 亮 等 形式 。 
[2 | НТТР Message Display 


[Т These settings let you control how HTTP messages are displayed within the raw HTTP viewer/editor. 


Font: Courier New 12рі Change fant ... 





[v| Highlight request parameters 
[v| Highlight response syntax 
° 字符 集 设 置 主 要 用 来 设置 http 消 息 显 示 时 使 用 的 字符 集 编 码 ， 正 确 的 使 用 字符 集 是 防止 消 
息 显示 乱码 的 基础 ， 默 认 情 况 下 会 自动 获取 系统 字符 集 。 


12 | Character Sets 


G These settings control how Burp handles different character sets when displaying raw HTTP messages. Note that some glyphs ar 
—' needto use an extended or unusual character set, you should first try a system font such as Courier New or Dialog 


(е) Recognize automatically based on message headers 
(_) Use the platform default (GBK) 


(_) Display as raw bytes 


(.) Use a specific character set | GB18030 | 


м 


° 页 面 泻 染 是 指 http 消 息 进 行 浑 当 时， 是否 也 显示 图 片 等 信 
新 的 http 请 求 消息 。 


杂项 设置 (Misc) 
Burp 的 杂项 主要 包含 以 下 七 个 部 分 内 容 : 


e 快捷 键 设置 (Hotkeys) 


Connections Sol | Sessions | Display 





[2 | Hotkeys 


E These settings let you configure hotkeys for common actions. These include item-specific actions such as “Send to Repeater’, 
о) Proxy”, and in-editor actions such as “Cut and "Undo". 


Action | Hotkey | 
send to Repeater САП+Е 

send to Intruder Ctri+ 

Forward intercepted Froxy message Ctrl+F 

Toggle Proxy interception СТ 

Switch to Target Ctrl+Shift+T 

switch to Proxy Ctrl+shitt+P 





| Edit hotkeys | 


Burp 的 快捷 键 设 置 遵 循 了 系统 软件 的 设置 习惯 ， 比 如 Ctrl+V、Ctrl+C、Ctrl+Z 都 是 和 操作 
系统 一 样 ， 同 时 ， 在 各 个 工具 组 件 之 间 的 切换 和 消息 传递 时 ，Burp 的 快捷 键 基本 遵循 了 
Ctrl+ 组 件 的 首 字 母 ， 例 如 : send to Repeater 是 Ctrl+R send to Intruder 是 Ctrl+| 详细 的 快 
捷 键 读者 自己 在 使 用 过 程 中 ， 会 慢 慢 熟悉 ， 而 且 ，Burp 也 提供 了 自 定 义 快捷 键 的 功能 ， 
只 有 点 击 下 方 的 【Edit hotkeys】 按 钮 ， 进 行 修改 即 可 。 

e 日 志 设置 (Logging) 


|2 | Logging 


[ur] These settings control logging of HTTP requests and responses. 


All tools: | | Requests | | Responses 
Proxy: | | Requests | | Responses 
Spider: | | Requests | | Responses 
ocanner: | | Requests | | Responses 
Intruder: | | Requests | | Responses 


Repeater: | | Requests | | Responses 

sequencer, | | Requests | | Responses 

Extender: | | Requests | | Responses 

用 来 控 
制 Burp 中 的 哪些 工具 组 件 需要 记录 日 志 ， 记 录 时 ， 也 可 以 单独 记录 请 求 或 者 应 答 消息 。 
e 临时 文件 位 置 (Temporary Files Location ) 

|? | Temporary Files Location 
G These settings let you configure where Burp stores its temporary files. Changes will take effect the next time Burp starts up. 


(e) Use default system temp directory 


(.) Use custom location: | Choose folder... | 


АЖЕТ ' burp 会 在 用 户 的 系统 目录 作为 临时 文件 的 目录 ， 同 样 ， 我 们 也 可 以 修改 这 
个 目录 ， 指 定 其 他 的 盘 符 目录 作为 临时 文件 目录 ，burp 在 工作 过 程 中 ， 产 生 的 临时 数据 
A 目录 中 。 如 果 修 改 了 此 设置 ， 需 重启 Burp 后 方 可 生效 。 

° 自动 备份 设置 (Automatic Backup ) 








[2 | Automatic Backup 

m The automatic backup feature can be used to save a copy of Burp's state periodically in the background, and on exit. 
L] Automatically backup state every 30 minutes 
To folder: Choose folder ... 


Include in-scope items only 


Backup on exit 


Ж eA TRG Burpf3 4A & de B6 › йш жле, She G EIN IR 6 Burpff] 2: | B a 
参数 和 运行 状态 。 
e 任务 队列 (Scheduled Tasks) 


Scheduled Tasks 


2 
[O] These settings let you specify tasks that Burp will perform automatically at defined times or intervals. 


| Add | 
| Edit | 


| Remove | 














我 们 可 以 通过 任务 队列 的 管理 ， 来 控制 任务 的 开始 和 结束 以 及 周期 性 运行 。 目 前 Burp 的 
任务 控制 主要 为 以 下 几 类 (如 下 图 ) ， 点 击 【Addj】 按 钮 ， 按 照 操 作 向 导 一 步 步 的 执行 即 


Schedule task 


|? | select the type of task you want to run. 


(ж) Scan from a URL 

(.) Pause active scanning 
(.) Resume active scanning 
С) Spiderfrom a URL 

(D) Pause spidering 

(D Resume spidering 


(.) Save state 


| Cancel | 


Мех 





性 能 反馈 (Performance Feedback) 主要 用 于 Burp 的 使 用 问题 或 bug 反 馈 。 


(2) Performance Feedback 


' T You can help improve Burp by submitting anonymous feedback about Burp's performance. 


(VJ Submit anonymous feedback about Burp's performance 


Feedback only contains technical information about Burp's internal functioning, and does not identify you in any way. If you do report a bug via email, you can help us 
diagnose any problems that your instance of Burp has encountered by including your debug ID. 


Debug ID: 


1503db 


db0d6e5245f04635:fd95 Copy | 


Burp Suite 应 用 商店 插件 的 使 用 


Burp 在 软件 中 提供 了 支持 第 三 方 拓展 插件 的 功能 ， 方 便 使 用 者 编写 自己 的 自 定义 插件 或 从 插 
件 商店 中 安装 拓展 插件 。Burp 扩 展 程 序 可 以 以 多 种 方式 支持 自 定义 Burp 的 行为 ， 例 如 : 修改 
HTTP 请 求 和 响应 ， 自 定义 UI， 添加 自 定义 扫描 程序 检查 以 及 访问 关键 运行 时 信息 ， 包 括 代 理 
历史 记录 ， 目 标 站 点 地 图 和 扫描 程序 问题 等 。 本 章 讲述 的 主要 内 容 有 : 


° 应 用 商店 插件 的 安装 使 用 (BApp Store) 
° 管理 和 加 载 Burp 插件 (Extension) 
e 其 他 选项 设置 (Options ) 


应 用 商店 插件 的 安装 使 用 


在 Burp Extender 面板 中 ， 有 一 个 BApp Store 的 Tab 页 ， 这 就 是 Burp 的 应 用 商店 ， 内 容 是 提供 
各 种 Burp 的 插件 。 默认 情况 下 ， 当 你 点 击 【BApp Storej】 的 Tab 页 时 ， 界 面 列表 会 显示 插件 
明细 ， 若 你 的 环境 是 通过 代理 访问 外 网 的 ， 则 需要 在 【Options】-> [Connections] - 

> [Upstream Proxy Servers】 进 行 设置 ， 具 体 如 下 图 所 示 : 


Connections | HTTP | SSL Display | 








|? | Platform Authentication 


These settings let you configure Burp to automatically carry out platform authentication to destination web servers. 


[V] Do platform authentication 

| Add | | Host А | Type | Username | Domain | Domain host | 
| Edit | — 

— Edit upstream proxy rule 







| Remove | 


[2| Enter the details ofthe upstream proxy rule. You can use wildcards to specify 
= destination hosts (* matches zero or more characters, ? matches any character 
| except a dot). Leave the proxy host blank to connect directly for the specified 


destination host. 
|_| Prompt for credentials on platform authen 


Destination host: 


| ?| Upstream Proxy Servers Proxy host: proxy.cbe com. x 


T! The following rules determine whether Burp sa) ihat matches each de 


single proxy server, create a rule with * as Б Proxy port 5080 


=== Authentication type: | None т 
| Add рә | Destination host 
= М = | Username: 

Edit = 

Passward: 

| Remove | 
i = Domain: 
| Up | 
| Hostname: 
| Down | 


OK | | Cancel | 
ЄЗ SOCKS Proxy — na 


其 中 代理 服务 器 的 host 和 port 为 你 本 地 的 网 络 环境 访问 外 网 的 代理 主机 和 端口 ， 更 详细 的 设置 
请 参加 Connections 章 节 相 关内 容 。 


p 果 你 的 网 络 设置 没有 问题 ， 则 应 用 商店 的 界面 显示 大 体 如 下 : 
Burp Suite Professional v1.8.27 - licensed to Larry_ Lay i l Aa m 


Burp Intruder Repeater Window Help 





| Extensions | BApp Store | Pis | Options | 





BApp Store 


The BApp Store contains Burp exterisions that have been written by users of Burp Suite, to extend Burp's capabilities. 





.NET Beautifier 


| 


d 
T 


BOn aii This extension beautifies NET requests to make the body parameters more human 


Pro extension have their values masked. Form field names have the auto-generated part of their nz 


Additional Scanner Checks 


AES Payloads новое Рго extension 

AuthMatrix hhh Requests are only beautified in contexts where they can be edited, such as the Prox, 
Authz 492.2 For example, а NET request with the following body: 

Autorize новое 


— VIEWSIAIE-X2oiAIHfiohzdoigjKLASgighajklgjSDGOsjdglSDIg9sDIGsdgjSG]DDSazd£js' 


Pra extension 
[1000 lines later] ... 


Backslash Powered Scan... 


Blazer 
Bradamsa 
Browser Repeater 


&ctlOOX2ictlOO*X2iTInnerContentPlaceHolder£2iElement 2i2€2ictlOO0€24iFrmLogin£24iT: 
al-username&ctlü0X2ictlü0*24InnerContentPlaceMolder*24Element 42X24ictlO00*24F: 
word internal-password&ctlüOn*2ictlOOn€2iInnerContentPlaceHolder£2iElement 22% 


Buby Arrr n=Login 

Burp Chat KRW A -— 

Burp CSJ tek: will be displayed like this: 

Burp-hash tek nz Pro extension . VIEWSTATE-&IxtUzername internal-usernameSIxtPazzword internal-password&Btz 

Bypass WAF * кк) . | - | | | 

bon Ur This is done without compromising the integrity of the underlying message so you c; 
саласа * * * k H n correctly reconstructed. You can also send the beautified messages to other Burp to 

coz kiii 


Content Type Converter 
Copy As Python-Requests 
CSRF Scanner 

CSurfer 

Custom Logger 
Decompressor 

Detect Dynamic JS 
Distribute Damage 
Dradis Framework 


从 图 中 我 们 可 以 看 
件 的 描述 信息 和 安装 信 


Pro extension 


Pro extension 
Pro extension 


Author Nadeem Douba 


Version: 0.2 


наша: Jr r r yr yc 
| Install | 


Submit rating 


' 左边 为 各 个 插件 的 应 用 列表 ， 当 选中 茶 个 插件 后 ， 右 侧 显示 的 为 该 插 
如 果 我 们 需要 使 用 茶 个 插件 ， 则 点 击 右 侧 下 方 的 【installj 442 : 


— 


AL o 


y 


Version: 2.0.12 
Rating: ооо 0.1 submit rating 
Installing = 


Installing... 

此 时 ， 安 装 按钮 置 为 灰色 ， 同 时 显示 为 【installingj】， 右 下角 也 显示 安装 中 ， 如 上 图 。 安 装 完 

成 后 ， 界 面 会 显示 重新 安装 【Reinstallj 和 插件 评分 按钮 【Submit rating】， 作 为 插件 商店 的 
Version: 2.0.12 


Rating: асс [Submiraing | ^ 
— Reinstall 1 у йз уй» ущ 
用 户 推 荐 。 安装 完毕 后 ， 在 


Burp Extender 的 Extension 的 Tab 页 面 中 ， 会 自动 显示 已 加 载 的 插件 列表 。 通 过 插件 列表 的 管 
理 ， 我 们 可 以 对 插件 进行 后 期 的 维护 。 


第 十 五 章 BurpSuite 应 用 商店 插件 的 使 用 





Burp Extensions 


Extensions letyou customize Burp's behavior using your own or third-party code. 


| Add | Loaded 


Р "i 


| Remove | | mA 


w 
| Down | 


Type 


Java 





| Details | Output | Errors 


[V] Extension loaded 


Name 


gason-0.9.6 jar 





Mame: Wsdler 
| 


Item 
Extension type 
Filename 
Methad 


Context menu providers 


Suite tabs 


当然 ， 除 了 从 应 用 商店 自动 安装 插件 外 ， 我 们 也 可 以 下 载 插件 ， 进 


BApp Store 


Detail 

Java 

bappsi5384a49hb5233/48f2bc80a8eb18a2eü08f ws dler.jar 
registerExtenderCallbacks 

1 

1 


The BApp Store contains Burp extensions that have been written by users of Burp Suite, to extend Burp's capabilities. 


4 
h 
» 
ж 
ч 
2] 
P 





Name 


Logger++ 

Manual Scan Issues 
MindMap Exporter 

NMAP Parser 

Notes 

Paramalyzer 

ParrotNG 

Payload Parser 

Pcap Importer 

PDF Metadata 

PDF Viewer 

Protobuf Decoder 

Python Scripter 

Random IP Address Header 
Reflected Parameters 
Reissue Request Scripter 
Report To Elastic Search 
Request Randomizer 
Retire js 

SAML Editor 

SAML Encoder / Decoder 
SAML Raider 

Sentinel 

Session Auth 

Session Timeout Test 
Site Map Fetcher 
Software Version Reporter 
SQLiPy 

ThreadFix 

WCF Deserializer 
Weblnspect Connector 
WebSphere Portlet State D... 
What-The-WAF 

WSDL Wizard 





Х55 Validator 






| Installed 


OOOO0000000000000000000000000000000 


| Rating | Detail 


Wsdler 


Pro extension 


This extension takes a WSDL request, parses out the operations that are associated with the targ 
SOAP requests that can then be sentto the SOAP endpoints. 




















ontext r 


ssenti; 








Pro extension 


查看 : | Ë Burpsuite_pro Ú La | | @ | [ 窗 | (ED) 


| | EnCode.exe 


[| jython-installer-2.7.0 jar 

| jython-standalone-2.7.0 jar 
| *] GrabTencentExmailContacts.jar | "| run.bat 

| “| JavaScriptinjector.py 


Pro extension 


Pro extension gason-0.9.6.jar - 





v1.6beta jar | | javasnoop-master zip 





Pro extension 
gason-0.9.6 jar 


文件 类 型 : | 所 有 文件 Ú 
| 打开 (Q) || 取消 | 


Pro extension 





Pro extensio 





Pro extension 
Pro extension 


Pro extension 

















| Refresh list | 
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当 我 们 nid den i ipia dno WG AGH R x PF 6 Аро ed TE < 69 464 x 
件 ， 点 击 打 开 即 可 进行 安装 。 


管理 和 加 载 Burp 插件 (Extension ) 
从 上 一 章节 我 们 已 经 了 解 到 ， 安 装 完成 的 插件 ， 都 会 显示 在 插件 列表 中 。 
Extensions | BApp Store APIS Options 


Burp Extensions 


Extensions letyou customize Burp's behavior using your own or third-party code. 


| Add = | | Loaded | Туре | Name | 
[vJ Java gason-0.9.6 jar 


— w im z а 7 











Details Dutput | Errors 


[V] Extension loaded 


Mame: Wsdler 

















“Item | Detail 
Extension type Java 
Filename bappsib84a498bb233748f2bc80a8eb18a2eü8fiws dler.jar 
Methad registerExtenderCallbacks 
Context menu providers 1 
Suite tabs 1 











如 果 我 们 想 对 某 个 插件 的 配置 信息 进行 编辑 ， 则 如 上 图 中 所 示 ， 选 中 插件 ， 其 下 方 的 
【Details】 标 签 页 会 显示 插件 的 拓展 信息 ， 如 : 拓展 的 插件 类 型 〈java/Pythom/Ruby) 、 插 件 
的 文件 名 、 存 储 的 位 置 。 除了 а. 标签 页 外 ，【Output】】 和 【Errors】 两 个 页 面 分 别 
可 以 设置 此 插件 的 标准 输出 和 错误 信息 输出 信息 。 


| Details | Output | Errors | 


(С) Output to system console 


© Save to file: | Select file ... | 


(ж) Show in UI: 
| 





从 上 图 中 我 们 可 以 看 出 ， 日 志 信 息 的 输出 有 三 种 方式 : a) iih с р) |да 
件 中 c)Burp 的 界面 输出 默认 情况 下 ， 会 选择 Burp 的 界面 输出 。 在 实际 应 用 中 ， 我 们 可 以 根据 
自己 的 需要 ， 对 日 志 的 存储 方式 进行 调整 。 


其 他 选项 设置 


Burp 插 件 的 其 他 选项 设置 主要 是 指 Options 的 Tab 页 中 的 相关 设置 。 


Burp Intruder Repeater Window Help 


Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options Wadler 








Extensions | BApp Store | APIs | Options 





| кә.) Settings 


m This setting controls how Burp handles extensions on startup. 


М] Automatically reload extensions оп startup 


(2j Java Environment 


m These settings let you configure the environment for executing extensions that are written in Java. If your extensions use any libraries, you can specify a folder from 


Folder for loading library JAR files (optional): 


Selectfolder... | 


Python Environment 


“д 





m These settings let you configure the environment for executing extensions that are written in Python. To use Python extensions, you will need ta download Jython, 1 


Location af Jython standalone JAR file: 


D:\softisafetool\Burpsuite_pro\jython-installer-2. 7.0 jar | Select file ... | 


Folder for loading modules (орііопа!): 


| Select folder ... 


(2) Ruby Environment 


E These settings let you configure the environment for executing extensions that are written in Ruby. To use Ruby extensions, you will need to download JRuby, whi 
id can either configure the location ofthe JRuby JAR file here, or you can load the JAR file an startup via the Java classpath. 


Location af JRuby JAR file: 


| Selectfile.. | 


| 

从 图 中 我 们 可 以 看 出 ，【Setting】 的 设置 是 指 : 是 否 启 动 时 自动 重新 加 载 burp 插 件 ， 当 我 们 
先 择 此 项 时 ，Burp 在 重 尼 时 ， 2 i ani 次 关闭 时 加 载 的 插件 内 容 ; 而 剩 下 的 三 项 
及 置 是 根据 插件 类 型 的 不 同时 所 需要 的 运行 环境 的 配置 。 我 们 先 来 看 第 一 个 运行 环境 【Java 
Environment 


| э | Java Environment 


| T | These settings let you configure the environment for executing extensions that are written in Java. If your extensions use any libraries, you can specify a folder from which libraries will be loaded. 


Folder for loading library JAR files (optional): 


| Selectfolder ... | 


M 


Burp Suite 是 基于 Java 语 言 开 发 的 软件 ， 通 党 情况 下 ， 当 你 运行 此 软件 时 ， 系 统 中 的 

JAVA HOME ` CLASS PATH ^ ШВ PATH 变 量 均 已 正确 地 配置 完成 ， 否 则 你 是 难以 运行 
Burp Suite 的 ， 所 以 ， 通 第 情况 下 你 是 无 须 再 配置 此 参数 ; 如 果实 在 需要 配置 ， 你 的 插件 需要 
特殊 的 jdk 版 本 要 求 或 者 其 他 ja， 则 选择 将 jar 添 加 即 可 。 


Єз Јама Environment 


m These settings let you configure the environment for executing extensions that are written in Java. If your extensions use é 


Folder for loading library JAR files (optional): 
C:\Program FilesWavaijdke1.7.0_ 13\jrewtjar Selectfolder... | 


Failed to open folder 


而 【Python Environment] 1° [Ruby Environment】 有 是 Burp 播 件 的 Python 运行 环境 和 Ruby 运 
行 环境 的 配置 。 前 文 我 们 已 经 知道 ，Burp 有 是 java 语 言 编 写 的 软件 ， 所 以 运行 Python 和 Ruby 需 
要 配置 兼容 Java 与 Python、Java 与 Ruby 的 jar 默 认 情 况 下 ，Burp 支 持 的 为 JPython 和 JRuby ° 
这 两 个 软件 的 地 址 分 别 是 : http://www.jython.org/、http://jruby.org. 其 安装 方式 非常 简单 ， 此 
处 以 JPython 为 例 : 1. 下 载 JPython 的 安装 包 ，Jpython 的 安装 分 jython-installer-2.7.0.jar 和 
jython-standalone-2.7.0.jar 两 个 。 如 果 使 用 jython-installer， 则 下 载 完 毕 后 ， 双 击 此 jar， 按 照 
安装 向 导 ， 一 路 【Next】 到 如 下 图 的 界面 ， 记 录 安 装 路 径 。 然 后 一 直 默 认 ， 直 至 安装 结束 。 
[5 Jython Installation 


Target directory 


Choose the location where you want Jython to be installed ta 


Please select the target directory: 


| Browse... | 





sassa 


如 果 使 用 jython-standalone-2.7.0.jar， 则 直接 进行 第 2 步 。 2. 在 Burp 的 Python Environment 环 
境 中 配置 Jpython， 如 果 使 用 的 jython-standalone-2.7.0.jar， 则 如 下 图 指定 jar 存 放 的 位 置 即 
可 ; 如 果 是 使 用 jython-installer 方 式 ， 则 指定 安装 的 文件 天， 由 软件 自己 加 载 〈 此 处 为 了 说 明 
使 用 的 方式 ， 两 个 输入 域 均 输入 了 ， 实 际 使 用 时 ，Jpython 之 输入 其 中 之 一 即 可 ) ° 


ы Python Environment 
[ur] These settings let you configure the environment for executing extensions that are written in Python. To use Python € 


Location of Jython standalone JAR file: 


DsoftisafetooliBurpsuite_proyython-standalone-2. 7.Ü jar | select file ... | 





Folder for loading modules (optional): 


| CApythanz.?.ü | Select folder ... | 


至 于 JRuby 的 配置 与 JPython 类 似 ， 此 处 就 不 再 资 述 。 配 置 完 插 件 运行 的 可 依赖 环境 之 后 ， 当 
我 们 使 用 插件 时 就 能 正 第 使 有 用， 否则， 在 插件 的 【Errors】 标 签 页 中 会 有 错误 的 提示 信息 ， 我 
们 可 以 根据 错误 提示 来 修改 自己 的 配置 。 

_| Extensions BApp Store | APIs | Options 

Burp Extensions 


Extensions let you customize Burp's behavior using your own or third-party code. 






Add Loaded | Type Name 
=—————= [М] Java gason-0.9.6 jar 
| Remove | [М] Jawa Wsdler 


| Up | 
| Down | 


Qutput | Errors 


G Outputto system console 







(С) Save to file: Select file ... 


(ж) Show in ШІ: 


错误 提示 昼 息 显示 





++ 值 得 注意 的 是 ， 当 我 们 使 用 Burp 插 件 功能 ， 对 于 Burp 运 行 时 所 需要 的 JVM 内 存 占用 比较 
大 ， 一 般 建 议 设置 为 1G， 上 有 具体 设置 请 参考 第 一 章节 。++ 


如 何 编写 自己 的 Burp Suite 括 件 


Burp Suite 的 强大 除了 自身 提供 了 丰富 的 可 供 测 试 人 员 使 用 的 功能 外 ， 其 提供 的 支持 第 三 方 拓 
展 插件 的 功能 也 极 大 地 方便 使 用 者 编写 自己 的 自 定义 插件 。 从 上 一 章节 我 们 已 经 了 解 到 ， 
Burp Suite 支 持 的 插件 类 型 有 Java、Python、Ruby 三 种 。 无 论 哪 种 语言 的 实现 ， 开 发 者 只 要 
选择 自己 熟悉 的 语言 ， 按 照 接 口 规 艺 去 实现 想 要 的 功能 即 可 。 下 面 我 们 就 来 看 看 如 何 开发 一 
个 Burp Extender 的 插件 。 本 章 讲 述 的 主要 内 容 有 : 


。 AP| 简 述 
e Burp 插 件 的 编写 前 准备 
e Burp 插 件 的 编写 (Java 语言 版 ) 


API B) 3 


打开 Burp Extender 的 APls 的 Tab 页 ， 看 到 的 界面 如 下 图 所 示 : 
Burp Intruder Repeater Window Help 


Target | Proxy | | scanner Intruder Decoder | Comparer Options 


| Extensions | BApp Store | i Options 





Burp Extender APIs 


You can use the Burp Extender APIs to create your own extensions to customize Burp's behavior. 


x | * fi #)1ScanQueueltenm. java 
IBurpExtender & 
[BurpExtenderCallbacks * Copyright PortSwigger Ltd. All rights reserved. 
IContextMenuFactory ^ 
| | š || * This code may be used to extend the functionality 
IContextMenulnvocation * and Burp Suite Professional, provided that this us 
Cookie * license terms for those products. 
: | xf 
IExtensionHelpers үк» 
IExtensianStateListener * This interface is used to retrieve details of item 
IHttpListener || * active scan queue. Extensions can obtain reference 
* calling 
IHttpRequestResponse || * <code>TBurpExtenderCallbacks. doActivescan()</code> 
IHttpRequestResponsePersisted JN | 
| public interface IScanQueueItem 
IHttpRequestResponseVVithMarkers [ 
lHttp Service FrEE 
* This method returns a description of the statu 
IInterceptedProxyMessage " 
| lintruderAttack х return А description of the status of the яса 
¥ 
lIntruderPayloadGenerator š P 
tring getitatusi); 
| IIntruderPaylaadGeneratorFactory 
IIntruderPayloadProcessor fe 
| * This method returns an indication of the perce 
IMenultemHandler * scan queue item. 
IMessageEditar : 
IMessageEditorController : ереп An indication of the percentage comple 


IMessageEditorlab жу 
IMessageEditorlabFactory 
[Parameter fue 


IProxyListener * This method returns the number of requests tha 
* scan queue item. 

IRequestlnfa * 

IResponsalnfo x [ireturn The number of requests that have been : 
* jtem. 

IScanlssue */ 


 lacantueuelitem int getNumRequests(); 


IScannerCheck jns 

IScannerinsertianP aint * This method returns the number of network erro 

IScannerinsertionPointProvider : the scan queue item. 

IScannerListener * flreturn The number of network errors that have 
* 


IScopeChangeListener queue item. 


*7 
int getNumErrorsi):; 


| SessionHandlingAction 
ITab 


ITempFile 


ITextE ditor ES =) k=) > | |Type a search term 
| save interface files | | save Javadoc files | 
界面 由 左边 的 接口 类 和 右边 的 接口 定义 和 描述 构成 ， 其 中 左边 的 最 下 端 有 两 个 按钮 ， 图 中 1 按 
钮 为 保存 接口 类 ， 当 我 们 点 击 保 存 后 ， 在 指定 的 存储 目录 下 ， 会 生成 一 系列 的 java 文 件 ， 如 下 
图 





第 十 六 章 如 何 编写 自己 的 BurpSuite 插 件 


burp 


帮助 (H) 
打印 新 建立 件 去 
名 称 


| | | IBurpExtender.java 
© | IBurpExtenderCallbacks.java 
后 ICantextMenuFactory.Java 
S| IContextMenulnvocation.Java 
后 ICookiejava 
|_| IExtensionHelpers.Java 
| | IExtensionStateListener java 
|_| IHttpListener,Java 
| | IHttpRequestResponse.Java 
-| IHttpRequestResponsePersisted.Java 
| | IHttpRequestResponseWithMarkers java 
1 IHttpService.Java 
-| IInterceptedProxyMessage java 
-| IIntruderAttackjava 
二 IIntruderPayloadGeneratorjava 
司 lintruderPayloadGeneratorFactory.Java 
-| IntruderPayloadProcessor.java 
二 IMenultemHandler.java 
|_| IMessageEditor java 
|_| IMessageEditorCantraller.java 
C| IMessageEditorlab java 






|_| IMessageEditorlabFactory java 


|_| [Parameter.java 


修改 日 期 


2016/11/14 14:48 


2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 
2016/11/14 14:48 


SRI: UEStudio Document (Јама) је 
A‘): 1.91 KB 
收 改 日 期 : 2016/11/14 14:48 


"iu 


M 


TER 


UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu... 
UEStudio Docu.. 


大 小 


4 KB 


这 些 文件 的 内 容 即 为 前 一 张 图 中 右边 所 示 的 内 容 ， 按 照 java 语 言 的 源 文件 格式 存放 的 ， 在 编写 
插件 时 ， 可 直接 将 burp 包 引入 Project 中 使 用 。 而 前 一 张 图 中 2 按钮 为 保存 Javadocs, 点 击 保存 


后 ， 会 在 存储 目录 中 存放 与 API 相 对 应 的 JavaDocs 文 件 。 用 浏览 器 打开 则 如 下 图 所 示 : 


AN TAE ha fay 28 写 É] ©, f? BurpSuite 4h fF 


All Classes 


IBurpExtender 
IBurpExtenderCallbacks 
IContextMenuFactory 
IContextMenuinvocation 
ICookie 

IExtensionHelpers 
IExtensionStateListener 
IHttpListener 
IHttpRequestResponse 
IHttoRequestResponseFersisted 


IHttoRequestResponseWithMarkers 


IHttpService 
linterceptedProxyMessage 
IintruderAttack 
lintruderPayloadGenerator 


IIntruderPayloadGeneratorFactory 


lintruderPayloadProcessor 
IMenuitemHandler 
IMessageEditor 
IMessageEditorController 
IMessageEditorTab 
IMessageEditorTabFactory 
IParameter 

IProxyListener 
IRequestinfo 
IResponseinfo 

IScanissue 
IScannerCheck 
IScannerinsertionPoint 
IScannerinsertionPointProvider 
IScannerListener 
IScanQueueitem 
IScopeChangeListener 
ISessionHandlingAction 
ITab 

ITempFile 

ITextEditor 


除了 上 文 说 的 ， 我 们 能 导出 JavaDocs 到 本 地 外 ，Burp 官 方 也 提供 了 





Package Class Deprecated Index 


Prev Package Next Package 


Package burp 





Frames No Frames 





| Interface 


Description 





IBurpExtender 


IBurpExtenderCallbacks 
IContextMenuFactory 


IContextMenulnvocation 
| ICookie 


| IExtensionHelpers 


lExtension StateListener 
| IHttpListener 


| IHttpRequestResponse 


| IHttpRequestResponsePersisted 


| IHttpRequestResponseWithMarkers 
IHttpService 


linterceptedProxyMessage 
lintruderAttack 
| IntruderPayloadGenerator 


lintruderPayloadGeneratorFactory 


lintruderPayloadProcessor 





| IMenultemHandler 


IMessageEditor 


IMessageEditorController 


IMessageEditorTab 


| IMessageEditorTabFactory 


IParameter 





All extensions must implement this interface. 


This interface is used by Burp Suite to pass to extensions a set of callback methods that can be used by extensions to perform 
various actions within Burp. 


Extensions can implement this interface and then call IBurpExtenderCallbacks. registerContextMenuF actory () to register a factory 
for custom context menu items. 


This interface is used when Burp calls into an extension-provided IContextMenuFactory with details of a context menu invocation. 
This interface is used to hold details about an HTTP cookie. 


This interface contains a number of helper methods, which extensions can use to assist with various common tasks that arise for 
Burp extensions. 


Extensions can implement this interface and then call IBurpExtenderCallbacks.registerExtensionStatelistener () to register an 
extension state listener. 


Extensions can implement this interface and then call IBurpExtenderCallbacks. registerHttpListener () to register an HTTP 
listener. 


This interface is used to retrieve and update details about HTTP messages. 


This interface is used for an IHttpRequestResponse Object whose request and response messages have been saved to temporary 
files using IBurpExtenderCallbacks. saveBuffersToTempFiles (). 


This interface is used for an IHttpRequestResponse object that has had markers applied. 

This interface is used to provide details about an HTTP Service, to which HTTP requests can be sent. 
This interface is used to represent an HTTP message that has been intercepted by Burp Proxy. 

This interface is used to hold details about an Intruder attack. 

This interface is used for custom Intruder payload generators. 


Extensions can implement this interface and then call IBurpExtenderCallbacks. registerIntruderPayloadGeneratorFactory() to 
register a factory for custom Intruder payloads. 


Extensions can implement this interface and then call IBurpExtenderCallbacks. registerIntruderPayloadProcessor () to register a 
custom Intruder payload processor. 


Deprecated 
Use ItontextKenuFactory instead. 


This interface is used to provide extensions with an instance of Burp's HTTP message editor, for the extension to use in its own Ul. 
This interface is used by an IMessageEditor to obtain details aboutthe currently displayed message. 


Extensions that register an IMessageEditorTabFactory must return instances ofthis interface, which Burp will use to create custom 
tabs within its HTTP message editors. 


Extensions can implement this interface and then call IBurpExtenderCallbacks.registerMessageEditorTabFactory() to register a 
factory for custom message editor tabs. 


This interface is used to hold details about an HTTP request parameter. 


一 份 在 线 文档 ， 地 址 


为 : https://portswigger.net/burp/extender/api/index.html 下 面 我 们 根据 接口 功能 的 不 同 对 API 


1. 插件 入 口 和 帮助 接口 类 : IBurpExtender、IBurpExtenderCallbacks、 
IExtensionHelpers ` IExtensionStateListener 
IBurpExtender 接 口 类 是 Burp 插 件 的 入 口 ， 所 有 Burp 的 插件 均 需 要 实现 此 接口 ， 并 且 
类 命名 为 BurpExtender ° 1BurpExtenderCallbacks 接 口 类 是 |BurpExtender 接 口 的 实 


现 类 与 Burp 其 他 各 个 组 件 (Scanner ` Intruder ` Spider...... ) 


E S SUE 


( HttpRequestResponse ^ HttpService ` SessionHandlingAction ) 2 lš] 49 2a + ° 
IExtensionHelpers、1IExtensionStateListener 这 两 个 接口 类 是 插件 的 帮助 和 管理 操作 


的 接口 定义 


о 


2. UI 相关 接口 类 : IContextMenuFactory ` IContextMenulnvocation ` ITab ` ITextEditor ^ 
IMessageEditor ` IMenultemHandler 


о 


这 类 接口 类 主要 是 定义 Burp 揪 件 的 UI 显 示 和 动作 的 处 理事 件 ， 主 要 是 软件 交互 中 使 
用 


3. Burp 工 具 组 件 接口 类 : IInterceptedProxyMessage、|IntruderAttack、 
IIntruderPayloadGenerator ` IIntruderPayloadGeneratorFactory ` 


IIntruderPayloadProcessor ` IProxyListener ` IScanlssue ` IScannerCheck ^ 


IScannerlnsertionPoint ` IScannerlnsertionPointProvider ` IScannerListener ^ 


187 


IScanQueueltem ` IScopeChangeListener 
这 些 接口 类 的 功能 非 第 好 理解 ，Burp 在 接口 定义 的 命名 中 使 用 了 的 见 名 知 意 的 规 
59, d 看 到 | 接口 类 的 名 AR? 基本 就 能 A M 出 来 这 ЛВ о жі 用 于 哪个 工具 组 件 。 


4. HTTP 消 息 处 理 接口 类 : |Соокіе ` IHttpListener ` IHttpRequestResponse ^ 
IHttpRequestResponsePersisted ` IHttpRequestResponseWithMarkers ^ IHttpService ^ 
IRequestlnfo ` IParameter ^ ы 

这 些 接 口 的 定义 主要 是 围绕 HTTP 消 息 通信 过 程 中 涉及 的 Cookie、Request、 
кеен Parameter 几 大 消息 对 象 ， 通 过 对 通信 消息 头 、 消 息 体 的 数据 处 理 ， 来 
达到 控制 HTTP 消 息 传递 的 目的 。 


通过 对 Burp 插 件 AP| 的 功能 划分 ， 我 们 对 API 的 接口 有 一 个 初步 的 认 知 ， 和 知道 在 使 用 茶 个 功能 
时 ， 可 以 去 哪个 接口 类 中 寻找 相应 的 接口 定义 来 做 上 自己 的 实现 。 例 如 。 我 们 想 显示 一 个 Tab 页 
界面 ， 那 么 肯定 是 要 实现 ITab 接 口 ; 如 果 需 要 对 消息 进行 编辑 修改 ， 则 需要 实现 
IMessageEditor 接 口 ; 需要 使 用 payload 生 成 蜂 ， 则 需要 实现 IIntruderPayloadGenerator 接 
口 。 通 过 接口 分 类 后 再 找 具 体 的 接口 定义 的 方法 ， 可 以 帮助 我 们 在 不 太 熟 悉 Burp 插件 API 的 
情况 下 ， 更 快 地 开发 出 自己 需要 的 插件 。 


Burp 插 件 的 编写 前 准备 
编写 一 个 完整 的 Burp 插 件 的 大 体 过 程 可 分 为 如 下 


1. 导入 Burp 插 件 接口 ， 即 通过 APIs 界 面 上 的 【save interface files】 的 保存 动作 ， 将 生成 的 文 
件 连同 burp 目 录 一 下 添加 你 自己 的 Java Project? ° 


2. 编写 Burp 插 件 ， 即 通过 目 己 的 代码 编写 ， 完 成 目 己 想 实现 的 功能 插件 的 编码 过 程 。 


3. 加 载 Burp 插 件 ， 即 将 上 一 步 编 写 完 成 的 插件 ， 打 包 后 导入 Burp Extensions 中 ， 进 行 试 用 测 
TK, 8] at FZ о 


其 中 第 一 步 和 第 三 步 对 大 多 数 来 说 ， 没 有 难度 ， 主 要 难度 在 于 如 何 编码 实现 Burp 的 插件 。 在 
Burp Suite 的 官方 网 站 上 ， 插 件 编写 网 址 : httos://portswigger. ко aine ih ° I 
开 这 个 网 页 ， 会 发 现 网 站 上 有 一 系列 Demo， 包 含 各 个 编程 语言 的 实现 的 源 代码 ， 


Demo， 按 照 开 发 的 难度 逐步 增加 的 ， 我 们 可 以 点 击 【Download】 链 接 下 载 源 码 进 行 分 析 和 
学 习 (网 页 截图 如 下 所 示 ) ° 


©) Hello world - This is a very simple extension that prints some output to various 
locations within Burp. 
Details Download [Java, Python, Ruby] 


t» Event listeners - This extension registers listeners for various runtime events, and 
prints a message when each event occurs. 
Details Download [Java, Python, Ruby] 


t» Traffic redirector - This extension redirects all outbound requests from one host to 
another. 
Details Download [Java, Python, Ruby] 


t» Custom logger - This extension adds a new tab to Burp's user interface, and 
displays a log of HTTP traffic for all Burp tools, in the style of Burp's Proxy history. 
Details Download [Java, Python, Ruby] 


t» Custom editor tab - This extension adds a new tab to Burp's HTTP message editor. 
in order to handle an unsupported data serialization format. 
Details Download [Java, Python] 


© Custom scan insertion points - This extension provides custom attack insertion 
points for active scanning. allowing Burp's scanning engine to work with an 
unsupported data serialization format. 
Details Download [Java, Python] 


#5 Custom scanner checks - This extension implements custom checks to extend the 
capabilities of Burp's active and passive scanning engines. 
Details Download [Java] 


-» Intruder payloads - This extension provides custom Intruder payloads and payload 
processing. 
Details Download [Java] 


余 了 这 些 Demo 外 ， 网 站 还 有 一 篇 插件 编写 入 门 的 文章 。 М 
bk : http://blog.portswigger.net/2012/12/writing-your-first-burp-extension.html ° x * ¿Java 
"— š — ш, 大 插件 的 编写 流程 ， 阅 读 这 些 文章 ， 
给 我 们 编写 Burp 插 件 带 来 极 大 的 帮助 。 阅 读 完 这 篇 文章 之 后 ， 接 着 官方 的 归档 文件 中 ， pe 
一 些 由 浅 入 深 讲 解 插件 编写 的 文章 ，E 文 好 的 同学 也 可 以 自己 看 看 ， 网 址 点 
a : http://blog.portswigger.net/2012 12 01 archive.html 


如 果 你 没 法 读 履 这 些 文章 ， 那 么 我 们 一 起 先 来 看 看 编写 Burp 插 件 的 准备 工作 有 哪些 ， 下 一 章 
以 实例 学 习 如 何 编 写 一 个 Burp 插 件 。 通 第 编写 Burp 插 件 的 准备 工作 有 : 


1. 安装 JDK------ 我 相信 会 使 用 Burp Suite 软 件 的 同学 都 已 经 安装 过 JDK 了 ， 如 果 没 有 安装 ， 
请 阅读 此 书 的 第 一 草 第 二 草 相关 章节 。 

2. 安装 IDE------ 一 款 好 的 IDE 能 使 得 开发 效率 得 到 极 大 的 提升 ，Java 语 言 推 荐 使 用 Eclipse 或 
者 IntelliJ，Python 推 荐 使 用 Pycharm 或 者 PyDev， 有 具体 每 一 个 IDE 软 件 的 安装 ， 请 读者 自 
己 查 找 学 习 。 

3， 熟 悉 编 程 语言 的 语法 ----- 这 是 编写 插件 的 基础 ， 如 果 连 基本 的 语法 都 不 熟悉， 编写 Burp 代 
码 是 有 一 定 难 度 的 ， инеу Heigl i Api A AS] о 


具备 了 以 上 三 点 ， 把 你 自己 想 要 实现 的 插件 功能 按照 软件 需求 分 析 的 流程 在 图 纸 上 简 单 地 画 
出 来 ， 我 们 即 可 以 进入 插件 开发 环节 


Burp 插 件 的 编写 《Java 语言 版 ) 


Burp 插 件 的 编写 语言 有 Java、Python、Ruby， 此 处 我 们 以 Java 为 例 ， 来 学 习 编 写 一 个 插件 。 
s Be : 在 http 和 https 请 求 的 header 邵 分 添加 一 个 X-Forward-For 字 段 ， 而 字段 
中 的 IP 地 址 是 随机 生成 或 者 指定 的 ， 用 于 绕 过 使 用 该 字段 来 防护 暴力 破解 等 的 场景 。 插 件 代 
码 的 编写 是 基于 网 友 bit4woo 的 Burp 插 件 源 码 进 行 二 次 开发 的 。 源 项 目 github 地 

ЋЕ : https://github.com/bit4woo/Burp Extender random X-Forward-For > # sb) M A 
bit4woo X 1 | 


bit4woo 网 友 的 源码 中 实现 的 插件 中 仅 有 X-Forward-For 的 消息 头 添 加 ， 无 插件 的 UI 界面 ， 我 
们 无 控制 插件 是 否 生 效 和 跟踪 http 消 息 通 信 的 直观 查看 。 因 此 ， 我 们 需要 实现 的 插件 的 功能 如 
T.: 


1， 对 使 用 插件 的 HTTP 请 求 消息 头 中 添加 X-Forward-For 字 上 段 

2. MAUR › А Sede TER А о 

3. 跟踪 HTTP 消 息 ， 在 Burp 中 使 用 了 哪些 组 件 ， 请 求 的 URL 是 什么 ,请 求 后 的 http 状 态 码 是 否 
多 Woo 

4. 能 在 插件 中 控制 本 插件 是 否 拦截 所 有 的 HTTP 请 求 消息 ， 即 是 否 对 请 求 消息 头 添加 X- 
Forward-For 字 段 。 

5. 添加 的 X-Forward-For 字 段 是 随机 生成 还 是 目 己 指 定 的 值 。 


> > È > AN Fa I ° 
插件 编写 完成 的 消息 跟踪 界面 (HistoryLog) 如 下 图 : 
| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | Logger | 














Tool | URL | STATUS 

Proxy http-//Comet.blog.sina.com.cn:80/api?maintype-noti.. 200 |à 
Prox tp://10.243.2.4 : 200 » 
Proxy http-//Comet.blog.sina.com.cn:80/api?maintype-noti.. 200 

Proxy http-//comet.blog.sina.com.cn:80/api?maintype-noti.. 200 

Proxy http://config.pinyin.sogou.com:80/picface/interface/g... 302 

Proxy http//cdn2.ime.sogou.com:80/yun_pack_utf8/yun_e... 200 

Proxy http://comet.blog.sina.com.cn:80/api?maintype=noti... 200 

Proxy http://comet.blog.sina.com.cn:80/api?maintype=noti... 200 

Proxy http-//vconf.f.360.cn:80/safe update 200 

Proxy http//vconf.f.360.cn:443/safe update 200 M 


Request | Response 
Raw | Params | Headers | Hex 


GET http://10.243.2.44:8080/platform/ HITP/1.1 四 
Accept: */* 





Referer: http: //10.243.2.44:8080/platform/index.do 

Accept-Language: zh-CN 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; 
.NET4.0C; hwvcloud4; hwcloud4) 

Accept-Encoding: gzip, deflate 

Host: 10.243.2.44:8080 

Cookie: PSSESSIONID-aaabS-FWUql i zQwCXHv 

X-Forwarded-For: 163.151. 46.105] 


插件 的 设置 界面 (Options) 如 下 : 





| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | Logger | 
| Options | HistoryLog | 


是 否 启用 X-forward-For (е) 自动 生成 Xforward-For 值 С) 指定 X-forward-For 值 pia: 





| Request | Response | 
| Raw | Params | Headers | Hex | 





GET http://10.243.2.44: 8080/platform/ НТТР/1.1 

Accept: */* 

Referer: http://10.243.2.44:8080/platform/index.do 

àccept-Language: zh-CN 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; 
.NET4.0C; hwvcloud4; hwcloud4) 

Accept-Encoding: gzip, deflate 

Host: 10.243.2.44:8080 

Cookie: PSSESSIONID-aaabS-FWUql i zQwCXHv 

X-Forwarded-For: 163.151.46.105 


下 面 我 们 就 来 看 看 具体 的 编码 实现 〈 此 处 仅仅 谈 Burp 插 件 的 编写 ，Swing 组 件 的 使 用 不 涉及 ， 
默认 编写 者 对 Swing 已 熟练 掌握 ) 。 


1. 首 先 在 burp 包 中 定义 了 一 个 名 称 为 BurpExtender 的 java 类 ， 必 须 继承 IBurpExtender 接 口 。 
这 


4 127 Burp: 26 import javax.swing.JTextField; 
4 8 src 27 import javax.swing.SwingUtilities; 
An ben | 28 import javax.swing.table.AbstractTableModel; 
Cp es а 29 import javax.swing.table.TableModel; 
urpExtender.java = 

[JJ IBurpExtenderCallbacks.java - Š Р А 

B aana % 31 public class| BurpExtender| extends AbstractTableModel implements IBurpExtender, 
Шыгыска на ш _ 32 ITab, IMessageEditorController, IHttpListener { 


2. 因 为 要 在 Burp 中 添加 一 个 tab 页 作为 我 们 自 定义 的 UI， 所 以 我 们 需要 实现 ITab 接 口 ; 因为 要 
显示 请 求 和 响应 消息 ， 所 以 需要 实现 IMessageEditorController 接 口 ; 因为 要 拦截 请 求 的 报 
文 ， 添 加 X-Forward-For， 上 所 以 需要 实现 IHttpListener 接 口 。 如 上 图 所 示 。 类 定义 完成 后 ， 导 
入 未 实现 的 方法 ， 则 类 的 UML 图 如 下 : 


2. 因 为 要 在 Burp 中 添加 一 个 tab 页 作为 我 们 自 定 义 的 UI， 所 以 我 们 需要 实现 ITab 接 口 ; 因为 要 
显示 请 求 和 响应 消息 ， 所 以 需要 实现 IMessageEditorController 接 口 ; 因为 要 拦截 请 求 的 报 
文 ， 添 加 X-Forward-For， 所 以 需要 实现 IHttpListener 接 口 。 如 上 图 所 示 。 类 定义 完成 后 ， 导 
入 未 实现 的 方法 ， 则 类 的 UML 图 如 下 : 


С, LogEntry 


& tool: Int 
requestResponse: IHttpRequestResponsePersisted 
url: URL 


А 
А 
& httpCode: short 
& 


LogEntry(tool: int, requestResponse: IHttpRequestResponsePersisted, url: URL, httpCode: short) 





(9 BurpExtender 


2 callbacks: IBurpExtenderCallbacks 


helpers: IExtensionHelpers 





splitPane: JSplitPane 
requestViewer: IMessageEditor 
responseViewer: IMessageEditor 
п log: List=LogEntry> 
п currentlyDisplayedItem: IHttpRequestResponse 
isOpen: boolean 
isAuto: boolean 
IsSpecify: boolean 
п ipValue: String 
registerExtenderCallbacks(callbacks: IBurpExtenderCallbacks): void 


processHttpMessage(toolFlag: int, messagelsRequest: boolean, messagelnto: IHttpRequestResponse): void 












createOptionsPanel(): JPanel 
getipValue(isAuto: boolean): String 
getTabCaption(): String 

getUiComponent(): Component 

getRowCount(): int 

getColumnCount(): int 
getColumnName(columnindex: int): String 
getColumnClass(columnindex: int): Class?» 
getValueAt(rowIndex: int, columnindex: int): Object 
getRequest(): bytel] 
getResponse(): byte[] 
getHttpService(): IHttpService 





» Table(tableModel: TableModel) 


@ changeSelection(row: int, col: int, toggle: boolean, extend: boolean): void 


3. 接 着 就 是 对 接口 类 的 方法 实现 ， 在 UML 中 ， 下 面 两 个 是 需要 实现 的 主要 部 数 : 


registerExtenderCallbacks(final IBurpExtenderCallbacks callbacks) 3X ^ 42% 
Burp 播 件 的 入 口 ， 在 这 里 主要 做 了 如 下 工作 : 1) 初始 化 插件 和 组 件 对 象 2) 设置 自 定义 
42 ULE dn Jp 1 о 


@Override 
public void registerExtenderCallbacks(final IBurpExtenderCallbacks callbacks) { 
this.callbacks = callbacks; 
helpers = callbacks. getHelpers(); 
callbacks.setExtensionName("Random X-forward-For"); // 插件 名 称 
// Нап ЕБ ЕҖАПТ 
SwingUtilities.invokeLater(new Runnable() í 
public void run() {|] 
}); 
} 


其 中 创建 自 定 义 UI 的 run 郊 数 代 码 如 下 : 





// EER 

splitPane = new JSplitPane(JSplitPane.VERTICAL SPLIT); 
JTabbedPane topTabs = new JTabbedPane(); 

// HistoryLog 视图 

Table logTable = new Table(BurpExtender.this); 

JScrollPane scrollPane = new JScrollPane(logTable); 

// a L[optionsl 显示 面板 

JPanel optionsPanel = BurpExtender.this.createOptionsPanel(); 


// 添加 主 面 株 的 上 半 部 分 中 ,分 两 个 tab 页 
toplabs.add("Options", optionsPanel); 
topTabs.add("HistoryLog", scrollPane); 
splitPane.setLeftComponent(topTabs); 


// request/response 视图 

JTabbedPane tabs - new JTabbedPane(); 

requestViewer - callbacks.createMessageEditor( 
BurpExtender.this, false); 

responseViewer = callbacks.createMessageEditor ( 
BurpExtender.this, false); 


// ЛОТА АУТ ЕРИН, л аһ 

tabs.addTab("Request", requestViewer.getComponent()); 
tabs.addTab("Response", responseViewer.getComponent()); 
splitPane.setRightComponent(tabs); 


// 自 定 必 自己 的 组 性 
callbacks.customizeUiComponent(splitPane); 
callbacks.customizeUiComponent(topTabs); 
callbacks.customizeUiComponent(tabs); 


/在 Burp 添 加 自 定 兴 插件 的 tab 页 
callbacks.addSuiteTab(BurpExtender.this); 


// 注册 HTTP listener 

callbacks.registerHttpListener (BurpExtender.this) ; 
E Xx processHttpMessage(int toolFlag, boolean messagelsRequest, 
IHttpRequestResponse messagelnfo) 这 个 函数 的 功能 主要 是 对 HTTP 消 息 的 处 理 和 添 
加 HTTP 消 息 到 History 列 表 中 。 其 代码 如 下 : 


第 十 六 章 如 何 编写 自己 的 BurpSuite 揪 件 


public void processHttpMessage(int toolFlag, boolean messageIsRequest, 
IHttpRequestResponse messageInfo) { 
/7 如果 插 件 未 启用 ， 则 跳出 不 执行 
if (!isOpen)return; 
try { 
// 不 同 的 tooj]fjlag 代 表 了 不 同 的 burp 组 件 ， 如 INTRUDER , SCANNER , PROXY , SPIDER 
if (toolFlag == callbacks.TOOL PROXY || toolFlag == callbacks.TOOL INTRUDER 
|| toolFlag == callbacks.TOOL SCANNER || toolFlag == callbacks.TOOL SPIDER) í 
if (messageIsRequest) í // 对 请 求 包 进 行 处 理 
IRequestInfo analyzeRequest = helpers 
.analyzeRequest(messageInfo); // 对 消息 体 进行 解析 
String request = new String(messageInfo.getRequest()); 
byte[] body = request.substring( 
analyzeRequest.getBodyOffset()).getBytes(); 
/ /获取 http 请 求 头 的 信息 ， 返 回 headers 参 数 的 列表 
List<String> headers = analyzeRequest.getHeaders(); 
/ /根据 IP 生 成 方式 ,获取 IP 值 
String 1р; 
if(isAuto) 
ip= this.getIpValue(true); 
else 
ip = this.getIpValue(false); 
String xforward = "X-Forwarded-For: "+ ip; 
/7 添加 X-Forwarded-For 
headers.add(xforward) ; 
/ /重新 组 装 请 求 消息 
byte[] newRequest = helpers.buildHttpMessage(headers, body); 
messageInfo.setRequest(newRequest);// 设置 最 终 新 的 请 求 包 


} 
/7 添加 消息 到 HistoryLog 记 录 中 ， 供 UI 显 示 用 
synchronized (1ор) { 
int row = log.size(); 
short httpcode = helpers.analyzeResponse( 
messageInfo.getResponse()).getStatusCode(); 
log.add(new LogEntry(toolFlag, callbacks 
.saveBuffersToTempFiles(messageInfo), helpers 


除了 这 两 个 函数 ， 其 他 函数 的 功能 主要 是 为 了 UI 展示 做 的 各 种 逻辑 操作 ， 此 处 就 不 再 分 
述 了 ， 想 要 了 解 的 同学 可 以 下 载 本 章 后 面 附 的 源码 进行 阅读 。 
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4. 完 成 了 主要 函数 的 编码 之 后 ， 插 件 开发 的 部 分 就 已 经 结束 了 ， 这 时 候 ， 我 们 只 需要 把 代码 导 
出 成 jar 把 ， 加 载 到 Burp Extensions 中 测试 运行 即 可 。 
| D Export 


Select 


Export resources into a JAR file on the local file system. 


Select an export destination: 
pe filter text 
b == Android 
b Ge C/C++ 
b £= EJB 
b (£z Install 
4 [— Java 
„П JAR file | 
2 Javadoc 
Tu Runnable JAR file 
b [= Java EE 
> E= Plug-in Development 
> L= Remote Systems 
> 2 Run/Debug 


ea TH 


< Back Finish 





5. 本 插件 和 其 源码 下 载 地 址 


点 击 下 载 插 件 jar 
点 击 下 载 源 码 
下 载 完 毕 后 penal 的 两 个 java 类 放 入 从 APls 标签 页 中 导入 的 接口 类 所 在 的 burp 包 


v Mi &jari& fT ; 也 可 以 直接 把 下 载 的 X-forward-For.jar 导 入 Burp 拓 展 插 件 中 ， 即 可 看 
到 插件 的 运行 界面 。 


使 用 Burp Suite 测 试 Web Services 服 务 


从 这 一 草 开始 ， 我 们 进入 了 Burp 的 综合 使 用 。 通 过 一 系列 的 使 用 场景 的 简单 学 习 ， 未 渐 熟 四 
Burp 在 渗透 测试 中 ， 如 何 结 合 其 他 的 工具 ， 组 合 使 用 ， 提 高 工作 效 府 。 本 章 主要 讲述 在 测试 
Web Services 服 务 中 ， 如 何 使 用 Burp Suite 和 SoapUI NG Pro 的 组 合 ， 对 服务 接口 进行 安全 测 
试 。 本 章 讲述 的 主要 内 容 有 : 


° 使 用 场景 和 渗透 测试 环境 配置 
e 渗透 测试 过 程 中 组 合 软 件 的 使 用 


使 用 场景 和 渗透 测试 环境 配置 


在 日 常 的 web 测 试 过 程 中 ， 除 了 基于 浏览 器 展现 技术 的 客户 端 应 用 程序 外 ， 基 于 SOAP 协 议 进 
行 通信 的 WebService 服 务 也 很 常见 。WebService 的 出 现 是 为 了 解决 分 布 式 、 足 平台 、 低 耦合 
而 实现 的 不 同 编程 语言 之 间 采 用 统一 的 数据 通信 的 技术 规范 ， 在 应 用 程序 中 ， 常 作为 独立 的 
I кок 前 段 提供 数据 处 理 的 业务 接口 。 因 SAOP 协 议 中 的 接 
口 定 义 使 用 XML 作 为 描述 性 语言 ， 这 与 php、jsp 之 类 的 通信 交互 在 渗透 测试 上 还 是 有 很 大 的 
差异 。 如 果 使 用 Burp 对 通信 消息 进行 拦截 抓 包 ， 一 次 典型 的 消息 内 容 如 下 图 所 示 : 


Burp Intruder Repeater Window Help 


| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | Wsdler | 
| Intercept | HTTP history | WebSockets history | Options | 














Filter: Hiding out of scope items; hiding CSS, image and general binary content 








# | Host | Method | URL | Params | Edited | Status | Len... Y| MIME уре | | Extension | Tile | Comment 
175 1#р://агарһіса weather.ac POST xml/SOAP server/ndfdXMLserver.php М] m 500 )29 ML пр 
206  http//graphical.weather.gov POST Ixml/SOAP server/ndfdXMLserver.php (VJ = 500 1029 XML php 
226 http://graphical.weather.gov POST Ixml/SOAP server/ndfdXMLserver.php М LJ 500 1029 XML php 


[«X » ——<— 
| Request | Response | 
| Raw | Params | Headers | Hex | XML | 


Àccept-Encoding: gzip,deflate 
Content-Type: text/xml;charset-UTF-8 












Content-Length: 491 
Host: graphical.weather. gov 
User-Agent: Apache-HttpClient/4.5.2 (Java/l.8.0 102) 


soapenv:Envelope xmlns:xsi-"http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd-"http://www.w3.org/2001/XMLSchema" xmlns: soapenv="http: //schemas.xmlsoap. 
mlns:ndf-"http://graphical.weather.qov/xml/DWMLgen/wsdl/ndfdXML.wsdl"» 

<soapenv: Header/> 

<soapenv: Body> 


«ndf:CornerPoints soapenv: encodingStyle="http: //schemas.xmlsoap.org/soap/encoding/"> 
«sector xsi: type="xsd: string”>?</sector> 
«/ndf:CornerPoints» 
</soapenv: Body> 
/soapenv: Envelope>| 





其 http 消 息 头 中 包含 SOAPAction 字 段 ， 且 消息 体 为 «soapenv:Envelope» 封装 的 Xml 文本 (更 多 
се 文章 请 阅读 者 自行 搜索 ) 。 正 因为 WebService 这 些 特征 ， 所 以 在 渗透 测试 
中 我 们 也 需要 选择 能 解析 SOAP 协 议和 WSDL 描 述 的 软件 。 这 里 ， 我 们 使 用 的 是 SoapUI NG 
Pro 和 Burp Suite ° н 和 目的 作用 分 别 是 


e SoapUI NG Pro: 渗透 测试 流程 的 发 起 ， 通 信 报 文 的 解析 、 集 合 payload 之 后 通信 报 文 


的 重新 组 装 等 。 
e Burp Suite : 代理 拦截 ， 跟 踪 通信 过 程 和 结果 ， 对 通信 进行 重 放 和 二 次 处 理 等 。 


Жж RAR EORR EU ^ dO] EGRE GLA P ^ SAN Rate F : 


1: #5 рауоадо 


i 


2: АЖО 


2.1: 对 请 求 消息 进行 编码 、 АЧА Н 0 








| 22: е ze Web Server 





3 业务 处 理 总 








4.2: Iy eae | 


5: gol 0 


从 
图 中 我 们 可 以 看 出 ， 作 为 代理 服务 Burp 起 着 通信 中 间 人 的 作用 ， 可 以 对 消息 进行 拦截 后 的 编 
码 、 解 码 、 转 发 、 丢 弃 等 各 种 操作 ， 并 记录 原始 消息 。 而 SoapUI NG Pro 作 为 WebService 的 
测试 工具 ， 通 过 构造 不 同类 型 的 payload 来 测试 、 验 证 漏洞 的 存在 。 他 们 组 合 在 一 起 ， 共 同 完 
成 复杂 场景 下 WebService 服 务 的 渗透 测试 过 程 中 的 安全 性 验证 。 


SoapUI NG Pro 是 SmartBear 公 司 继 SoapUl Pro 之 后 推出 的 企业 应 用 级 收费 软件 ， 其 试用 版 
下 载 地 址 为 : https://smartbear.com/product/ready-api/soapui-ng/free-trial/ » FREER 3, Ж 

后 ， 打 开 软 件 的 主 界 面 大 体 如 下 图 所 示 〈 其 中 图 中 1 部 分 为 不 同 功能 视图 之 间 的 切换 项 ， 图 中 
2 部 分 为 菜单 栏 ， 图 中 3 部 分 为 常用 功能 菜单 ， 图 中 4 为 Project 视 图 区 ， 图 中 5 为 主 工 作 区 ， 图 


中 6 部 分 为 属性 设置 区 ) 








D Ready! API190-Secure M А w— w " babak 
Q Ready! АРІ Projects дыни RN LoadUI NG Secure ServiceV 
File, Edit View Project Security Scan Help 

| < > b Run ,U New [save E Scan defaults Е Ж JIRA M v Proxy @ Environments » Plugins A Events = Databases [=] Reporting tt Preferences START PRO TRIAL 


| Secure [Projects] 
BI testProject 
e m Project 1 
U Security Test 1 (Security Test S 


4 
Security tests — 
Test Number of scans Security tests: 


Security Test Suite 1 - ndfdXMLBinding TestCase - Security Test 1 96 " 
cans: 








Value 
Project 1 





Description 
ile C:\Users\AMCC\D... 


true 
false 

En v. 
Groovy 


CAUsers V AMCCJ.h... 


Disable CR escapi.. false 











安装 完毕 后 ， 我 们 首先 要 做 的 是 将 SoapUI NG Pro 的 代理 服务 指向 Burp Suite ° it X 49 Burp 
Proxy nl 127.0.0.1:8080 ° 2|SoapUI NG Ргоё BG E ж: 


1， 点 击 上 图 中 3 部 分 的 Preferences， 或 者 上 图 中 2 部 分 的 【Filej】 >> [Preferences] 
2. 在 弹出 的 界面 中 打开 proxy 选 项 卡 ， 录 入 代理 地 址 和 端口 。 





File Edit View Project Security Scan Help 


< > р> Run р New Ë Save e Scan defaults B Report Jee JIRA M v Proxy = Environments 内 Plugins А Events = Databases I3 Reporting 2 Preferences € 


Secure [Projects] SS —== БЭ ——— w + i = 
= 
[2] nS d» Ready! API Preferences " ыы 
=; ia Project 1 š = 
W Security Test 1 (Secu Ready! API Preferences 





Set global Ready! API Preferences 


HTTP 


С) Automatic 
Proxy 


© None 
SSL (®) Manual 





Host: 127.0.0.1 





UI Port: 8080 





Editor Excludes: 














WS-I Username: 


Global Properties Password: 
Global Security 
WS-A 
Global Sensitive Information Tokens 
Version Update 
LoadUI NG 























完成 以 上 的 配置 后 ， 对 WebService 的 渗透 测试 环境 已 经 基本 具备 ， 可 以 开始 对 一 个 具体 
的 WebService 服 务 进行 渗透 测试 了 。 


HIE MX +T FER CHAR #F 09 4 Л} 


渗透 测试 环境 配置 后 ， 我 们 就 可 以 开始 测试 。 这 里 我 们 可 以 自己 编写 WebService 服 务 端 ， 也 
可 以 通过 搜索 引 кы 对 互联 网 上 公开 的 WebService， 我 这 里 使 用 的 
Æ : http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php?wsdl 


SS 


i) 


一 次 简单 的 渗透 测试 过 程 大 体 包含 如 下 环节 : 1. 首 先 ， 我 们 通过 SoapUI NG Pro 创建 安全 测 
试用 例 。 如 下 图 : 














| ы 
File Edit View Project Security Scan Help 
New Ji wf Functional Test гі С JIRA s 
]mport Praet ES © Load Test — 
NES Security Tes curity | est » 
Import Composite Project енн set у 
Import Packed Project EE Virtual API | 
Import Remote Project BÀ Project 
Recent » | 
Import Project From VCS ИЖ. Fuzzing Scan 
Save All Project Ctrl+Alt-S 
re d ies: j C? Invalid Types 
Close All Open Projects mu Malformed XML 
R Work F2 sm — 
RD ENSE "> SQL Injection 
New Workspace | 
Switch Workspace @ XML Bomb 
Clear Workspace 


n 


jue Sis 
nject io n 





D-afaran rm 


2. 在 弹出 的 界面 中 ， 选 择 通过 WSDL 创 建 ， 接 着 输入 WSDL 地 址 。 如 下 图 : 


第 十 七 章 使 用 Burp Suite 测 试 Web Services 服 务 


‘ty New Security Test = — SEE 


Description File Setup 


@ Specify File © create Test 


Enter the file path or URL: 


http://graphical.weather.gov/xml/SOAP server/ndfdXM Lserver.php?wsdl 


Supported formats: WSDL, WADL, Swagger 


Learn more about security tests 


Cancel 





3. 4 SoapUI NG Pro 对 WSDL 解 析 完 成 后 ， 会 自动 生成 一 系列 的 安全 测试 项 : 
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第 十 七 章 使 用 Burp Suite 测 试 Web Services 服 务 


‘ty New Security Test 


Description File Setup 


@ Specify File © create Test 


Add your security test to a new or existing project 


Select scans to include in your security test 


@) Invalid Types 
x Malformed XML 
Å. Malicious Attachment 
“> SQL Injection 

€ XML Bomb 


EPA 


ты XPath Injection 


Learn more about security tests 


Finish Cancel 





4. 我 们 可 以 对 上 图 中 的 安全 测试 项 进行 增加 和 删除 ， 黑 认 情 况 下 ， 这 些 安全 测试 项 都 是 选中 

的 。 比 如 ， 如 果 我 们 只 需要 测试 是 否 存在 XPath 注入 ， 则 只 要 上 图 中 的 勾 选 最 下 面 的 一 项 即 

可 。 当 SoapUI NG Pro 根 据 安 全 测试 项 ， 完 成 不 同 的 测试 用 例 的 创建 之 后 ， 主 操作 界面 如 下 
E PT += : 
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[Projects] 


testProject Security Test 1 (Security Test Suite 1 -> ndfdXMLBinding TestCase) Security Test 1 
Project 1 Setup Р Р ~ Execution 
| Security Test 1 (Security Test Suite 1 - P» 00:00:00 Transaction tog, | Compare err [C] Abort test on first assertion failure 





a| М] Fail test if there are assertion failures 


! Summary 
Y H CornerPoints (8 scans) PS ice [C] Ignore DataSource Loop while running te: 
@ Boundary Scan Response Assertions: 1 Scanned: 0 responses — 
Misi: 0 » Description 


* Properties 


xss 


# Cross Site Scripting 





Response Assertions: 2 
d» Confirmation 


?€* Fuzzing Scan Response Assertions: 1 


Your Security Test was successfully created 


@ Invalid Types Response Assertions: 1 


What would you like to do next? 


mu Malformed XML Response Assertions: 1 


* SQL Injection Response Assertions: 1 Run Security Test Edit Security Test 


Run the security test and view the Edit the security test before 


€ XML Bomb Response Assertions: 1 


results of the security scans. running it. 


+ + + + + + + + 


"i? XPath Injection Response Assertions: 1 


{Г a 
! š + Add Scan 
Properties | Custom Properties | 


v В GmlLatLonList (8 scans) 





@ Boundary Scan Response Assertions: 1 


xss 


2 Cross Site Scripting Response Assertions: 2 


аф Fuzzing Scan Response Assertions: 1 


Ø Invalid Types Assertions: 1 


™u Malformed XML Response Assertions: 1 


"> SQL Injection Response Assertions: 1 


+ + + + + + 


€ XML Bomb Response Assertions: 1 








5. 我 们 可 以 选择 指定 的 SOAPAction 或 者 某 个 SOAPAction 下 的 某 个 安全 项 进行 单一 测试 ， 也 可 
以 直接 点 击 run 运 行 所 有 的 安全 测试 项 。 如 果 测 试 项 过 多 的 话 ， 此 操作 执行 时 间 会 比较 长 ， 同 
时 ， 如 果 并 发 数 过 多 ， 会 给 服务 器 端 造 成 压力 ， 这 是 测试 时 候 需 要 注意 的 。 如 下 图 所 示 ， 图 
中 WebService 接 口 正在 安全 测试 中 ， 进 度 条 中 显示 调用 的 SOAPAction 名 称 。 


Fle Edit View Project Suite Case Step Request TestRuns Help 














< > m St. W New [Pisae © Ne | Default environment -| 6 JIRA “(LY Monitor APIs M v Proxy @ Environments 和 内 Plugins А Events = Databases [= Reporting $t 
je. med "Security Test Suite 1 
SoapUI NG [Projects] = 
= Bi testProject b ж и  -› e B^? | Running ndfdXMLBinding TestCase  TestCases Transaction Log Compare History Coverag 
日 -图 Project 1 
5-88 Security Test Suite 1 
Bow ndfdXMLBinding TestCase + X Ñ" теясаѕеѕ: 1 Show: ¥ |All 3 





ndfdXMLBinding TestCase 








APIs x 


йз Project 1 
32 ndfdXMLBinding 


_TestSuite Properties | Custom Properties | 





Property 
Name Security Test Suite 1 
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6. 如 果 出 现下 图 的 状态 ， 则 表示 测试 进程 已 经 执行 完毕 。 





File Edit View Project Suite Case Step Request TestRuns Help 


< > P Run w New H Save © New 6 JIRA “LY Monitor APIs M > Proxy @ Environments Ё Plugins Ñ Events = Databases [E] Reporting t Pre 


Navigator * Security Test Suite 1 


SoapUI NG [Projects] 
> жий o н > uwa 


ndfdXMLBinding TestCase 


Transaction Log Compare History Coverage 





o Project 1 
2-88 Security Test Suite 1 
5-4 ndfdXMLBinding TestCase 


H GmlTimeSeries 


A LatLonListCityNames 


^ FJ LatLonListLine 


—H LatLonListSquare 





APIs x 


ia Project 1 
由 -车 ndfdXMLBinding 
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7.7. 此 时 ， 我 们 可 以 在 Burp 的 Http history 面 板 中 查询 到 刚才 发 生 的 所 有 请 求 消息 ， 通 过 不 同 
的 过 滤 条 件 查找 我 们 关心 的 请 求 或 响应 消息 ， 并 发 送 到 Burp 的 其 他 工具 组 件 进行 消息 重 放 和 


处 理 、 验 证 。 
Е burp Suite Professora v1 627 ПОЕТ to a O ж ‚= 


Burp Intruder Repeater Window Help 


[тиза [Prov | Siaor | scanner | user | repeater | ncn | ресми | Compare | mcn [оно | mens [иван | 
[mers | HIP slog | чехова пев [ор | 





Filter: Hiding out of scope items; hiding CSS, image and general binary content 





# | Host | Method | URL | Params | Edited | Status | Length | MIME type | Extension | Title Comment | SSL |Р 
Ü tp//graphical.weather.gov PO ml/SOAP serverindfdXMLserver.... (М) = 400 Š HTW php 400 Bad Reques = 5.10 А 
202  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... Ы GJ 400 529 HTML php 400 Bad Request (Lj 23.2.16.105 
203  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... 加 [Ы 400 529 HTML php 400 Bad Request 0 23.2.16.105 
204  http//graphical:.weather.gov POST — /xml/SOAP. server/ndfdXMLserver.... Ы 回 400 529 HTML php 400 BadRequest Lj) 232.16.105 
205  http//graphical.weather.gov POST ixml/SOAP. server/ndfdXML server.... Ы 加 400 529 HTML php 400 Ваа Request 0 23.2.16.105 
206  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... Ы LJ 500 1029 XML php g 23.2.16.105 





208  http//graphical.weather.gov POST ixml/SOAP. server/ndfdXMLserver.... Ы LJ 400 529 HTML php 400 Bad Request LJ 23.2.16.105 
209  http//graphical.weather.gov POST — /xml/SOAP. server/ndfdXMLserver.... Ы Lj 400 529 HTML php 400 Bad Request © 23.216.105 
210 http:Wgraphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... (VJ GJ 400 529 HTML php 400 Bad Request (Lj 23.2.16.105 
211 http-//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... (VJ LJ 400 529 HTML php 400 Bad Request LJ 23.2.16.105 
212  http//graphical.weather.gov POST  /xml/SOAP. server/ndfdXML server... Ы Lj 400 529 HTML php 400 BadRequest [) 232.16.105 
213  http//graphical.weather.gov POST Ixml/SOAP. server/ndfdXML server.... (VJ 加 400 529 HTML php 400 Bad Request 0 23246.1105 
214  Hhttp//graphical.weather.gov POST ixml/SOAP. server/ndfdXMLserver.... (VJ LJ 400 529 HTML php 400 Bad Request LJ 23.2.16.105 
215  http//graphical.weather.gov POST ixml/SOAP. server/ndfdXML server... Ы LJ 400 529 HTML php 400 Bad Request © 23.216.105 : 
n (23 





httn-//nranhical weather aov POST krnlHSmAP canarindfd'YMI carar Ann 520 HTMI nhn Ann Rad Paniiact t 
| < K 7 y b | 


| Request | Response | 
[ Ram | Params | Headers | Hex [xm | 


POST http://graphical.weather.gov/xml/S0AP server/ndfdXMLserver.php HTTP/1.1 
Accept-Encoding: gzip,deflate 

Content-Type: text/xml;charset=UTF-8 

SOAPAction: "http: //graphical. weather. gov/xml/DWMLgen/wsdl/ndfdxXML.wsdl#CornerPoints" 
Content-Length: 495 

Host: graphical.weather. gov 

User-Agent: Apache-HttpClient/4.5.2 (Java/1.8.0_102) 





<soapenv:Envelope xmlns:xsi-"http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http: //www.w3.org/2001/XMLSchema” xmlns:soapenv-"http://schemas.xmlsoap.org/soap/envelope/" 
xmlns:ndf-"http://graphical.weather.gov/xml/DWMLgen/wsdl/ndfdXML.wsdl"» 
<soapenv: Header/> 
<soapenv: Body> 
«ndf:CornerPoints soapenv:encodingStyle-" e 
«sector xsi:type-"xsd:string"»?«/sector» 
«/ndf:CornerPoints» 
</soapenv: Body> 
</soapenv: Envelope> 


[2 ) <) L*) [> J | Type a search term cb 2° $ ËB ¿ T £ 











更 多 关于 SOAPUI 的 使 用 请 阅读 这 里 


SoapUI NG Pro 的 安全 测试 项 包括 以 下 内 容 : 
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e 边界 扫描 

° SQL 注入 

e XPath/XQuery?£ A 
° 模糊 测试 

° 无 效 的 参数 类 型 

e XML 格式 畸形 

e XML 炸弹 

e 路 站 脚本 

e 上 传 附件 安全 
自 定 义 扫 描 


下 面 就 以 SQL 注 入 为 例 ， 


Q Ready! АРІ 


File Edit Help 


р New Ë save Фф Scan defaults 


View Project Security Scan 


| < > P> Run 


Secure [Projects] 
BB testproject 
=; ба Project 1 
WV Security Test 1 (Security Test Su 


p 00:00:00 
v H CornerPoints (8 scans) 
@ Boundary Scan 
=> Cross Site Scripting 
8€ Fuzzing Scan 


@ Invalid Types 


xu Malformed XML 





‘6 XML Bomb 


+ + + ++ + + + + 


ii XPath Injection 


L - sP Add Scan 
Properties | Custom Properties 
Property 
Name 
Description 


| 


v F GmlLatLonlList (8 scans) 





Value 
Security Test 1 





@ Boundary Scan 
=> Cross Site Scripting 
9€ Fuzzing Scan 


@ Invalid Types 


mu Malformed XML 


* SQL Injection 


+ + 4 4 + + 


‘6 XML Bomb 














utm Q + 


对 于 每 一 个 安全 测试 项 ， 其 基本 配置 


主要 是 指 协议 描述 中 定 
(namespace ^ import....) 


2. 自 动 化 测试 策略 (Straegy) 


主要 设置 测试 过 程 中 的 请 求 延 时 、 


3. 高 级 选项 (Advanced) 


Start 


> 我 们 看 看 SoapUI NG Pro 的 安 


Projects 


Security Test 1 (Security Test Suite 1 -> ndfdxMLBindin 


days left - B 


6 JIRA M v Proxy @ Environments 内 Plugins A Events = Databases [5 Reporting 2 Preferences 


TestCase) 


е 


Setup. Transaction Log Compare | Hi 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Response 


Assertions: 1 


Assertions: 2 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 2 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Assertions: 1 


Response Assertions: 1 


义 的 输入 参数 、 编 码 类 


summary 


Status: 


Scanned: 


Alerts: 


型 


全 测试 配置 参数 。 


SoapUI NG #8 


LoadUI NG Secure ServiceV 


SQL Injection x 
Tries to exploit bad database integration coding. 


Y Configuration 
Parameters 


Label Type Path 2 | 


encodingStyle Request declare namesp... 


type 





Request declare namesp... 











Strings for SQL injection can be changed under advanced 
settings 


* Strategy 


@ One by One 
O All At Once 


юш] 


Apply to Failed TestSteps: [ | Apply to Failed TestSteps 


Select strategy: 


Request Delay (ms): 





Run only once: [v] Run only once 


admin'-- 
/*11000096201/09620*/ 
/*110000 1/0 */ 

1/0 
'96200/**/r96201/09620-- 
' o/**/r 1/0 -- 


'9620and96201 - 29620-- 

' and 1-2 -- 

test09%20UNION%20select%201,%20@ @version,%201,%201;0 
testD UNION select 1, @@version, 1, 1:0 








项 (Configuration) 


\`SOAP 协 议 中 的 特定 参数 


选择 策略 、 运 行 方式 等 
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常 是 指 测试 时 所 需要 的 payload 值 ， 或 者 生成 payload 的 策略 。 通 过 上 图 我 们 也 可 以 看 
> payload 的 值 是 可 以 目 定 义 添 加 的 。 在 github 上 ， ол 泛 使 用 的 字典 库 ， 我 
们 可 以 使 用 它 作为 测试 的 payload 字 典 。 项 目地 址 为 : https://github.com/fuzzdb- 
project/fuzzdb 


当 我 们 配置 完毕 后 ， 运 行 安 全 测试 项 时 ， 可 以 在 Burp 中 查看 到 发 送 的 payload 值 ， 如 下 图 〈 阴 
idi 所 _ XSSH AH 测试 的 payload : 



















































| Method OO URL | Params | Edited | Status Comment | SSL |Р 
p://graphical.weather.gov m server... eques ‚2.16. А 
202  http//graphical.weather.gov POST Ikml/SOAP. serverindfdXML server... (VJ GJ 400 529 HTML php 400 Bad Request 0 23.2.16.105 
203  http'//graphical.weather.gov POST Ixml/SOAP. server/ndfdXMLserver.... E 400 529 HTML php 400 Bad Request LJ 23.2.16.105 
204  |http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... М GJ 400 529 HTML php 400 Bad Request Ч 23.2.16.105 
205  http//graphical.weather.gov POST  /xmi/SOAP_server/ndfdXMLserver.... [J 400 529 HTML php 400 Bad Request L] 23.216.105 
206  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... [V| GJ 500 1029 XML php 图 23.2.16.105 
208  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... V (eJ 400 529 HTML php 400 Bad Request 0 23.2.16.105 
209  http//graphical.weather.gov POST — /xml/SOAP. server/ndfdXML server... [J 400 529 HTML php 400 Bad Request [) 232.16.105 
210  Hhttp//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... М GJ 400 529 HTML php 400 Bad Request (Lj 23246.1005 
211 http-//graphical.weather.gov POST Ixml/SOAP. server/ndfdXML server.... LJ 400 529 HTML php 400 Bad Request g 232.106.105 
212  http//graphical.weather.gov POST Ixml/SOAP. server/ndfdXML server.... [V| Í J 400 529 HTML php 400 Bad Request 图 23.2.16.105 
213  http//graphical.weather.gov POST  /xmi/SOAP_server/ndfdXMLserver.... (Vj [J 400 529 HTML php 400 Bad Request [) 23.2.16.105 
214  http//graphical.weather.gov POST ixml/SOAP_server/ndfdXMLserver.... М Í J 400 529 HTML php 400 Bad Request 0 23.2.16.105 
215  http//graphical.weather.gov POST Ixml/SOAP. server/ndfdXMLserver.... mM LJ 400 529 HTML php 400 Bad Request E 23.2.16.105 
httn-//nranhical weather ao pner hnlHSmAP caniarindfd'YMI carar [A ы Ann 520 HTMI nhn Ann Bad Paniiact 一 












к= 


POST http://graphical.weather.gov/xml/S0AP server/ndfdXMLserver.php HTTP/1.1 A 
Accept-Encoding: gzip,deflate 

Content-Type: text/xml;charset-UTF-8 

SOAPAction: "http://graphical.weather.gov/xml/DWMLgen/wsdl/ndfdXML.wsdl$CornerPoints" 
Content-Length: 495 

Host: graphical.weather. gov 

User-Agent: Apache-HttpClient/4.5.2 (Java/1.8.0_102) 


<soapenv:Envelope xmlns:xsi-"http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd-"http://www.w3.org/2001/XMLSchema" xmlns: soapenv="http: //schemas.xmlsoap.org/soap/envelope/" 
xmlns:ndf-"http://graphical.weather.qgov/xml/DWMLgen/wsdl/ndfdXML.wsdl"» 
«soapenv:Header/» 
<soapenv: Body> 
«ndf:CornerPoints soapenv: encodingStyle="€/TITLES<SCRIPT>alert («quot ;XSSequot; ) ;</SCRIPT>"> 
«sector xsi: type="xsd: string”>?</sector> 
«/ndf:CornerPoints» 
</soapenv: Body> 
</soapenv: Envelope> 





(xh) 4 [<= lao | Type a search term qp 2° $ == т г 





ин > 我 们 根据 http 状 态 码 ， 对 应 答 进 行 排 序 ， 跟 踪 可 疑 的 响应 消息 ， 获 取 服 务 器 的 敏感 信 
o 如 下 图 获取 的 服务 器 Banner 信 息 : 
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Burp Intruder Repeater Window Help 


Prow | Spider | Scanner | intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | Wsdler | 


Filter: Hiding out of scope items; hiding CSS, image and general binary content 

















# ^ | Host | Method | URL | Params | Edited | Status | Length | MIME type | Extension | Title | Comment 
175  http//graphical.weather.gov POST Iixml/SOAP  server/ndfdXML server... М Ы 500 1029 XML php 

176  Hhttp//graphical.weather.gov POST /kxml/SOAP_server/ndfdXMLserver.... М) Ы 400 529 HTML php 400 Bad Request 
178  Hhttp//graphical.weather.gov POST /kxml/SOAP_server/ndfdXMLserver.... М LJ 400 529 HTML php 400 Bad Request 
179  http//graphical.weather.gov POST ixml/SOAP . server/ndfdXML server.... М Í 400 529 HTML php 400 Bad Request 
180  http:Wgraphical.weather.gov POST /kxml/SOAP_server/ndfdXMLserver.... М Ы 400 529 HTML php 400 Bad Request 
181 http://graphical.weather.gov POST /kxml/SOAP_server/ndfdXMLserver.... М Ы 400 529 HTML php 400 Bad Request 
182  |Hhttp//graphical.weather.gov POST ixml/SOAP server/ndfdXML server... М Ы 400 529 HTML php 400 Bad Request 
183  Hhttp//graphical.weather.gov POST Ixml/SOAP  server/ndfdXML server... М É 400 529 HTML php 400 Bad Request 
184 hittp://graphical.weather.gov POST Ixml/SOAP__serverindfdXMLserver.... М Ы 400 529 HTML php 400 Bad Request 
185  hHhttp//graphical.weather.gov POST ixml/SOAP . server/ndfdXML server... М - 400 529 HTML php 400 Bad Request 
186  |http//graphical.weather.gov POST ixml/SOAP  server/ndfdXML server... М Ы 400 529 HTML php 400 Bad Request 
187 | http://graphical.weather.gov POST ixml/SOAP server/ndfdXML server... М LJ 400 529 HTML php 400 Bad Request 
188  |Hhttp//graphical.weather.gov POST ixml/SOAP server/ndfdXML server... М т 400 529 HTML php 400 Bad Request 
189  Hhttp//graphical.weather.gov POST ixml/SOAP server/ndfdXML server... М ы 400 529 HTML php 400 Bad Request 





| Request | Response. 


НТТР/1.1 400 Bad Request 

Server: Арасһе/2.2.15 (Red Hat) 
X-NIDS-ServerID: www5.mo 

Content-Length: 314 

Content-Type: text/html; charset=iso-8859-1 
Date: Tue, 22 Nov 2016 06:55:18 GMT 
Proxy-Connection: close 


< !IDOCTYPE HTML PUBLIC "-//IETF//DID HTML 2.0//EN"» 
<html><head> 

<title>400 Bad Request</title> 

</head><body> 

<hl>Bad Request< /h1> 


<p>Your browser sent a request that this server could not understand.<br 
</p> 
<hr> 


caddress»Rpache/2.2.15 (Red Hat) Server at graphical.weather.gov Port 80f/address> 


</body></html> 


被 Burp 拦 截 到 的 消息 记录 ， 我 们 可 以 发 送 到 Intruder， 使 用 fuzzdb 进 行 指定 的 fuzz 测 试 ; 也 可 
以 发 送 到 Repeater 进 行 手 工 的 消息 内 容 修改 和 漏洞 是 否 存 在 性 的 验证 。 具 体 到 茶 个 方面 的 漏 
洞 ， 比 如 说 Xpath 注 入 漏洞 ， 在 测试 过 程 中 ， 需 要 测试 人 员 理 解 Xpath 的 注入 原理 ， 理解 Xpath 
的 语法 ， 根 据 服务 器 端的 响应 消息 ， 自 己 手 工 构造 特定 的 payload 才 能 获得 更 重要 的 信息 。 这 
些 都 是 在 平时 的 工作 中 慢 慢 积累 的 ， 而 不 是 光 靠 一 款 工具 软件 就 作为 万 能 的 解决 方案 ， 和 项 望 
读者 能 明白 这 个 道理 。 


使 用 Wsdler 测 试 WebService 接 口 


除了 前 面 我 们 说 的 使 用 SOAPUI NG Pro 测试 WebService 外 ， 在 Burp 里 也 有 一 个 通过 WSDL 
解析 接口 定义 ， 手 工 测 试 WebService 的 插件 : Wsdler 


NO 
O 
С) 


| uite e ИШ 4+ \ N mm b Q ary irac B p XR 
Burp S D ul ^4 КУМ \/ CY Sel VICES, P< 7J 








[eres везна [s [ons | 


BApp Store 


The BApp Store contains Burp extensions that have been written by users of Burp Suite, to extend Burp's capabilities. 





Name 





Logger 
Manual Scan Issues 
MindMap Exporter 
NMAP Parser 
Notes 
Paramalyzer 
ParrotNG 
Payload Parser 
Pcap Importer 
PDF Metadata 
PDF Viewer 
Protobuf Decoder 
Python Scripter 
Random IP Address Header 
Reflected Parameters 
Reissue Request Scripter 
Report To Elastic Search 
Request Randomizer 
Retire.js 
SAML Editor 
SAML Encoder / Decoder 
SAML Raider 
Sentinel 
Session Auth 
Session Timeout Test 
Site Map Fetcher 
Software Version Reporter 
SQLiPy 
ThreadFix 
WCF Deserializer 
WeblInspect Connector 
WebSphere Portlet State D... 
What-The-WAF 
WSDL Wizard 





XSS Validator 







| Installed 


OOOOOOOOOOOCOOOOOOOOOOOOOOOOOOOOOOD 
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| Rating 


Xoloiolok 


| Detail 


Pro extension 


Pro extension 


Pro extension 
Pro extension 


Pro extension 
Pro extension 


Pro extension 


Pro extension 


Pro extension 
Pro extension 
Pro extension 


Pro extension 








Wsdler 


This extension takes a WSDL request parses outthe operations that аге associated with the targeted web 
SOAP requests that сап then be sentto the SOAP endpoints. 


To use this extension, select a suitable item in Burp, and choose "Parse WSDL" from the context menu. 


The extension builds upon the work done by Tom Bujok and his soap-ws project which is essentially the W 
Soap-U! without the UI. 


Requires Java version 8 


Author: Eric Gruber 
Version: 2.0.12 


Rating: tke ee Submit rating 
Reinstall 








# ^ | Host 
1 


EL 


= 


http/updatem.360safe.com 


| Method | URL 
GET ———— сас 


= 


GET http: //qraphical.weather. gov/xml/SOAP server/ndfdXMLserve 
image/jpeg, application/x-ms-application, image/gif, 


， 此 插件 自动 解析 出 服务 


Accept: 


- 


а 


确认 使 用 【Parse WSDL) A» 8É 


` 


Endpoint ° 2 2: pil 
一 步 操作 。 


其 他 组 件 进行 进 








| Params | Edited | Status | Length | MIME type | Extension Title 
w [] 302 542 HTML cab 302 Found 


http-//graphical. weather. gov.. ServerndftdxMLserver. ph p?wsdl 





Remove from scope 


























Spider from here 

Do an active scan 

Da a passive scan 

send to Intruder 

Send to Repeater 

Send to Sequencer 

Send to Comparer (request) 


Send to Comparer (response) 


show response in browser 
Request in browser 


Parse W SDL | 
S lication, ve 


$^] Operation ` Binding ^ 


， 可 以 查看 SOAP 消 息 文 本 。 同 时， 可 以 发 送 到 Burp 的 


第 十 七 章 使 用 Burp Suite 测 试 Web Services 服 务 


[тизе [ноо Гаван scanner [шн | Repeater Ганак | Dense comparer [ева [олн [ruens fae) 
emm [m i т _ 




















Operation | Binding Endpoint 

NDFDgen ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
NDFDgenLatLonList ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
LatLonListSubgrid ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
LatLonListLine ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP  server/ndfdXMLserver.php 
LatLonListZipCode ndfdXMLBinding http-//graphical.weather.gov/ixml/SOAP server/ndfdXMLserver.php 





LatLonListCityNames ndfdXMLBinding http -//graphical.weather.gov/xml/SOAP server/ndfdXML server.php 
LatLonListSquare ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP server/ndfdXMLserver.php 
CornerPoints ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
GmiLatLonList ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP server/ndfdXMLserver.php 
GmlTimeSeries ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
NDFDgenByDay ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 
NDFDgenByDayLatLonList ndfdXMLBinding http://graphical.weather.gov/xml/SOAP_server/ndfdXMLserver.php 














Send to Spider 
Do an active scan 


Do a passive scan 
Send to Intruder 
Send to Repeater 
Send to Sequencer 
Send to Comparer 
Send to Decoder 


Show response in browser 
Request in browser 





Parse WSDL 





Engagement tools 





Copy URL 


Copy as curl command 


Copy to file 
Save item 





anunt calactian 


比如 ， 我 们 将 上 图 中 的 消息 发 


边界 测试 。 


х 


到 ntruder， 使 用 字符 块 (Character blocks) 的 对 参数 进 


soapenv 





和 





Operation 


LatLonListCityNames 





ndfdXMLBinding 


[pe 一 do 一 一 一 


| Binding 


Endpoint 


NDFDgen ndfdXMLBinding http://graphical.weather.govixml/SOAP_server/ndfdXMLserver.php 
NDFDgenLatLonList ndfdXMLBinding http://graphical.weather.govixml/SOAP_server/ndfdXMLserver.php 
LatLonListSubgrid ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP. server/ndfdXMLserver.php 
LatLonListLine ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP. server/ndfdXMLserver.php 
LatLonListZipCode ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP. server/ndfdXMLserver.php 


http -//graphical.weather.gov/xml/SOAP server/ndfdXMLserver.php 





LatLonListSquare ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP. server/ndfdXMLserver.php 
CornerPoints ndfdXMLBinding http://graphical.weather.govixml/SOAP_server/ndfdXMLserver.php 
GmiLatLonList ndfdXMLBinding http://graphical.weather.govixml/SOAP_server/ndfdXMLserver.php 
GmiTimeSeries ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP server/ndfdXML server.php 
NDFDgenByDay ndfdXMLBinding http-//graphical.weather.gov/xml/SOAP. server/ndfdXMLserver.php 
NDFDgenByDayLatLonList ndfdXMLBinding http://graphical.weather.govixml/SOAP_server/ndfdXMLserver.php 








— 


IL MM 
[nan [roams | нене [нәк Duc] _ 








Send to Spider 
Do an active scan 
Do a passive scan 


Send to Intruder 


Send to Repeater 
Send to Sequencer 
Send to Comparer 
Send to Decoder 


Chow racnane a in hrmiainr 


发 送 Intruder 后 的 截图 如 下 : 
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(2) Payload Positions Start attack 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which payloads are assigned to payload positions - see help for full details. 
Attack type: | Sniper vj 


POST /xm1/30AP server/ndfdXMLserver.php HTTP/1.1 Add 
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, ( 8 
application/vnd.ms-powerpoint, application/msword, */* 





Center PC 6.0; InfoPath.2; .NET4.0C) — 
Accept-Encoding: gzip, deflate ( Auto § 
SOAPAction: http://graphical. weather. gov/xml/DWMLgen/wsdl/ndfdxML.wsdl#LatLonListCityNames 
Content-Type: text/xml;charset=UTF-8 Refresh 
Host: graphical. weather. gov 


Content-Length: 527 


Accept-Language: zh-cn Clear 8 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media 





<soapenv:Envelope xmlns:xsi="http: //www.w3.org/2001/XMLSchema-instance” xmlns:xsd-"http://www.w3.org/2001/XMLSchema" 
xnlns: soapenv="http: //schemas.xmlsoap.org/soap/envelope/" xmlns:ndf-"http://graphical.weather.qgov/xml/DWMLgen/wsdl/ndfdXML.wsdl"» 
<soapenv: Header/> 
<soapenv: Body> 
«ndf:LatLonListCityllanes soapenv:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"» 


«displayLevel xsi:type-"xsd:integer"» /displayLevel» 
</ndf: LatLonListCityNames> 


</soapenv: Body> 
</soapenv: Envelope> 





使 用 的 payload 为 字符 串 1， 从 1 到 50， 即 1,11,111,1111..…. 直 到 50 个 1， 来 测试 参数 的 边界 长 





[?| Payload Sets 


You can define one or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various payload types are available for е; 
type can be customized in different ways. 


Payload set: | 1 DB : Payload count: 50 
Payload type: | Character blocks B Request count 50 


Payload Options [Character blocks] 


5) | 


This payload type generates payloads based on blocks of a specified character or string. It сап be useful for detecting buffer overflows and exploiting some logic flaws. 











Base string: 1 
Min length: |1 
Maxlength: 50 
Step: 1 





生成 payload 并 执行 后 的 结果 如 下 图 所 示 : 


AA | ] Z ) + mr “^^ mg wu] ` DAT I (P п rJ A 

一 一 -d— — А P | 于 | Ц re м | то >) 1х Wan Nar | CAC HKE 2 

/ L. —+ N/N DUIU wu | ( с, (NJ N V V C L YOO | V | Vu ч) P< TV 
а 4 | ч 1 (V V ` - 


Request a | Payload | Status | Error | Timeout | Length | Comment 
AT] АП X Lui = = aD 


41x1 200 1286 
42x1 200 1286 
43x1 200 1286 
44 x 1 200 1286 
45 x1 200 1286 
46х1 200 1286 
47 x1 200 1286 
48x1 200 1286 
49x1 12865 


LIDCOCUDOOCOOU 


LIDOCODOOOOU 


ast | Response 


Content-Type: text/xml;charset-UTF-8 
Host: graphical. weather. gow 
Content-Length: 574 

Connection: close 


<soapenv:Envelope xmlns:xsi-"http://www.w3.orgqg/z00l/xMLSchema-instance" 
xmlns:xsd-"http://www.w3.org/züü0l/xXMLSchema" xnlns: soapenv="http: //schemas.xnlsoap.org/soap/envelope/" 
xnlns:ndf-z"http://graphical.weather.qov/xml/DWMLgen/wsdl/nd£d«ML.wsdl"- 
&soapenv:Header/- 
<soapenv: Body> 
«ndf:LatLonListCitylNames soapenv:encodingstyle-"http: //schemas.xmlsoap.org/soap/encoding/"» 
<displayLevel xsi:type="xsd:integer">111111111111111111111111111111111111111111111111llkydisplaylevel> 
«/nd£:LatLonListCityllames- 
</soapenv: Body> 
</soapenv: Envelope> 


| ? || < || + || > | Type а search term 0 matches 
Finished Eeegg 





上 面 仅 仅 简 单 地 叙述 了 Wsdler 的 使 用 ， 在 实际 的 安全 测试 中 ， 你 可 以 使 用 Fuzzdb 的 字典 ， 进 
行 更 复杂 的 渗透 测试 和 功能 验证 。 无 论 你 使 用 什么 样 的 工具 ， 只 要 能 通过 一 系列 的 目 动 化 测 
试 或 者 手工 测试 ， 完 成 WebService 应 用 程序 的 安全 脆弱 性 验证 ， 保 障 应 用 程序 的 安全 性 ， 提 
供 了 应 用 程序 的 安全 系统 ， 这 就 达到 我 们 做 渗透 测试 的 目的 了 


i 0 | TA, 


在 OWSAP Top 10 中 ， 注 入 型 漏洞 是 排 在 第 一 位 的 ， 而 在 注入 型 漏洞 中 ，SQL 注 入 是 远 比 命 
令 行 注 入 、Xpath 注 入 、Ldap 注 入 更 常见 。 这 就 是 本 章 要 讲述 的 主要 内 容 : 在 Web 应 用 程序 的 
渗透 测试 中 ， 如 何 使 用 Burp 和 Sqlmap 的 组 合 来 进行 SQL 注入 漏洞 的 测试 。 在 讲述 本 章 内 容 之 
前 ， 默 认为 读者 熟悉 SQL 的 原理 和 SqlMap 的 基本 使 用 ， 如 果 有 不 明白 的 同学 ， 请 先 阅读 
《SQL 注入 攻击 与 防御 》 一 书 和 SqlMap 手 册 (最 好 是 阅读 官方 文档 ) ° 


AE 


1. 使 用 gason 插 件 +SdqlIMap 测 试 SQL 注入 漏洞 
2. 使 用 加 强 版 sqlmap4burp 插 件 +SqlIMap 批 量 测 斌 SQL 注入 漏洞 


使 用 Burp, Sglmapzt 41 El 216801 x: A 


包含 的 内 容 有 : 


使 用 gason 括 件 +SqlIMap 测 试 SQL 注入 漏洞 
在 正式 开始 本 章 的 内 容 之 前 ， 我 们 先 做 如 下 两 点 约定 


° 你 已 经 安装 配置 好 了 python 可 运行 环境 
e 你 已 经 就 悉 sqlmap 的 基本 命令 行 的 使 用 并 正确 安装 


如 果 你 已 经 做 到 了 上 面 的 两 点 ， 那 么 ， 我 们 正式 开始 进入 本 章 的 内 容 。 


Burp Suite 与 SqlIMap 整 合 的 插件 除了 BApp Store 中 的 SQLiPy 外 (如 图 ) ° 


BApp Store 


The BApp Store contains Burp extensions that have been written by users of Burp Suite, to extend Burp's capabilities. 














Name ‘Installed | Rating | Detail Bi 
| = SQLi 

Logger++ О Xxix E у 

Manual Scan Issues = Жусу: Рго extension This extension integrates Burp Suite with SQLMap. 

MindMap Exporter О Akár 

NMAP Parser g Aeir Requirements: 

mum 四 Jololoic @ Jython 2.7 beta, due to the use of json. 

Paramalyzer C) Ai 

ParrotNG ËJ Ж} Pro extension @ Java 1.7 or 1.8 (the beta version of Jython 2.7 requires this). 

Payload Parser Ы ;oloieio e Arunning instance ofthe SQLMap API server. 

Pcap Importer 0) Arrr Pro extension 

PDF Metadata Ы ооо е‘ Pro extension SQLMap comes with a RESTful based server that will execute SQLMap scans. You can manually start the server with: 

PDF Viewer LJ kite python sqlmapapi. py -s -H <ip?> -p “port? 

Protobuf Decoder 四 yolk 

Python Scripter g cx in de e Alternatively, you can use the SQLMap API tab to select the IP/Port on which to run, as well as the path to python and sglmapapi.py on 
- stem. 

Random IP Address Header LJ kk DES m 

Reflected Parameters 四 ЖЖ»)? Pro extension Once the SQLMap API is running, you just need to right-click in the "Request sub tab of either the Target or Proxy main tabs and 

Reissue Request Scripter 0) kk choose 'SQLiPy Scan’ from the context menu. This will populate the SQLMap Scanner tab with information about that request. 

Report To Elastic Search О P2229] Pro extension Clicking the ‘Start Scan’ button will execute a scan. If the page is vulnerable to SQL injection, then these will be added to the Scanner 

Request Randomizer 0) yolk | Resulis tab. 

Retire js kr k koko h. Pro extension 

: А U Author: Josh Berry @ CodeWatch 

SAML Editor О ЖЖЖ | 

SAML Encoder / Decoder 0) olco шиле 

SAML Raider LJ kk Rating: Jolie Submit rating 

Sentinel О ЖЖЖЖ 

Session Auth GJ) AAAA Pro extension install 

Session Timeout Test GJ) yolk iste 

Site Map Fetcher 0) yov 

Software Version Re 7" bi yolk Pro extension 

Ecc mat а | [| Pro extensio 

ThreadFix О ЎЎ Pro extension 

WCF Deserializer Ü) olco 

Weblnspect Connector 0) ЖЖЖЖ) Pro extension 

WebSphere Portlet State D... GJ) oleo 

What-The-WAF О Akri 

WSDL Wizard O Arr 

Wsdler Ü Aki 

XSS Validator GJ) yov eoe: т 


还 有 gason 和 sqlmap4burp。 不 同 的 插件 之 间 的 功能 大 同 小 异 ， 其 目的 都 是 使 用 命令 行 调用 
SqlMap 的 API 接 口 进 行 SQL 注 入 的 测试 ， 这里， 我 们 主要 以 gason 为 例 ， 讲 述 具 体 配 置 安 装 和 
功能 使 用 。 


gason 插 件 安装 使 用 大 体 分 以 下 几 个 步骤 : 


1.， 首 先是 下 载 gason 插 件 。 你 可 以 从 这 个 地 址 进行 下 载 (点 击 下 载 ) ， 也 可 以 从 官方 下 载 源 
码 自己 编译 ， 总 之 就 是 获取 到 插件 的 安装 文件 gason-version.jar 


2， 打 开 Burp Extensions 进 行 安装 ， 点 击 【Addj】 按 钮 ， 按 照 图 中 所 示 操 作 即 可 。 安 装 过 程 
很 简单 ， 如 果 不 明白 的 话 ， 可 参考 《Burp Suite 应 用 商店 插件 的 使 用 》 章 节 的 内 容 。 


| Extensions | BApp Store | Apis | Options | 


Burp Extensions 


ensions let you g^ - —— —— —mÉ ^ 
: Load Burp Extension — ws | — | E! == 


Add | 
— - Please enter the details ofthe extension, and how you would like to handle standard output and error. 


| Remove | 


Up === 

— Extension type: | Java | 
| Down | | + 
| S| а Far), fhsafetoolBurpsuite proigasan-0.98.6.jar | Select ће... | 


Extension Details 


| Standard Output 
| Details | ошо} м 


= Output to system console 


(O Save to file: | Select file ... | 


(ж) Show in Ul 


[V] Extension loa) 


| 
Mame: gason-O}) 


Extension type | 
Filename 
Method | 


Legacy method (O Save to file: | Select Ше... | 


Legacy method) © Show in Ul 
Legacy method 


Legacy method 


Standard Error 


EJ Output to system console 


Legacy method 
Extension state]. 
HTTP listeners 
Proxy listeners 
scanner listenal- 


Context menu ol | Cancel | | Next | 





第 十 八 章 使 用 Burp, SqlImap 进 行 自动 化 SQL 注 入 渗透 测试 


如 果 出 现 了 下 图 中 所 示 结果 ， 且 【Output】 和 【Errors】 两 个 tab 页 面 中 没有 错误 的 提示 
信息 ， 表 示 插 件 已 安装 成 功 。 
Burp Extensions 


Extensions let you customize Burp's behavior using your own or third-party code. 


Add Loaded Type Name 





|м] 


Remove 


U 


Down 


som | 


Details | Output Errors - 





[V] Extension loaded 





Mame: gason-0.9.6 jar 


Item Detail 

Extension type Java 

Filename D:sofisafetooliBurpsuite_proigason-0.9.6 jar 
Method registerExtenderCallbacks 

Legacy method setCommandLineArgs 

Legacy method processHttpMessage 

Legacy method processProxyMessage 

Legacy method applicationClasing 

Legacy methad newsScanlssue 

Extension state listeners 1 


HTTP listeners 
Proxy listeners 
Scanner listeners 


=k =Ы Ы mk 


Context menu providers 
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第 十 八 章 使 用 Burp, SqlImap 进 行 自动 化 SQL 注 入 渗透 测试 


` 


3. 安装 完成 后 ， 当 Burp 的 Proxy 中 拦截 到 消息 记录 时 ， 可 直接 发 送 到 sqlImap。 如 下 图 所 示 : 


Intercept | HTTP history | WebSockets history | Options 





Filter. Showing all items 


# | Host | Method | URL | Params | Edited | Status | Length | MIME typ 
ü httpvconf.f.360.cn POST Іѕаѓе update [vJ 四 200 57/182 app 

g https £360.cn POST /всап [vJ C] 200 251 app 
10 http-//res.qhmsg.com GET Ihips/papwnd/data-201402722 json... gj = 200 254 app 
11 һїїр:ї5 Т.ЗВ0.сп POST /scan gj [] 200 251 app 
12 http-//res.qhmsg.com GET /hips/popwnd/data-20140222 json... [V] = 200 254 app 
13 http.//10.152.21.215:8080 GET /EntClient.cab?t=335&mid=e836cb... [М] [ы] 200 2538 HTML 
15 http/vconf.f.360.cn POST Isafe update [vJ L] 200 8168 app 
18 http./M40. 152 21.215:8080 GET IEntClient.cab?t-835&mid- 70654... [v| S| 200 2537 HTML 
17 http-//q.soft. 360.cn GET Ідеї update infa.php?tipe-update... gj [ 200 25365 XML 
18 http://q.soft. 360.cn POST еі palls.php?mid-7065d72c142... gj = 200 2926 XML 
19 http-//updatem.360safe.com GET M3lsafeup miniup.cab?autoupdat... [V] = 302 540 HTML 
20 http-//src.dl.360safe.com GET fd). 360safe.comiva/safeup_miniu... [М] Ы 200 4185 арр 
21 http.//updatem.360safe.com GET M3lsafeup miniup.cab?autoupdat... [vJ [ЫЈ 302 540 HTML 
22 http-//src.dl.360safe.com GET Idl.360safe.com/3/safeup. miniu... [vj [sa] 200 4185 app 

<a 






Send to Spider 


Da an active scan roduct wversion- 








Do a passive scan 
Send to Intruder 










Send to Repeater 





Send to Sequencer 
Send to Comparer 
Send to Decoder 
Show response in browser 
Requestin browser 

| sendto sqlm ap 


гт. =L be = le = 


4.， 如果 没有 出 现 如 上 图 所 示 的 【send to sqlmap】 菜 单 ， 则 表示 插件 没 正确 安装 成 功 ， 需 要 
读者 自己 排查 一 下 安装 失败 的 原因 。 
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5， 当 我 们 在 Burp 拦 截 的 请 求 消息 上 选择 【send to sqlmap】 后 ， 则 自动 弹出 sqlmap 选 项 设 
置 对 话 框 。 























=. 
Filter: Showing all items — Ca 
: Š 9.6 - iel- Wi i [се | © mem 
# ^ | Host | m 
SQLMap options 
|8 http'/vconf.f.360.cn 
19 http://s.f.360.cn Target | 
| 10 http://res.qghmsg.com U... http://md.openapi.360.cn:80/istget?product=360tray&version=1 w) |.8el —)J (GET (w) 
| 11 http://s.f.360.cn Cookie 
12 hitp:/res.qghmsg.com = 
43 http://10.152.21.215:8080 Bin path | CAsalmapisalmap.py NOT FOUND. Select executable! (==) 





Command | python.exe C:\sqimap\sqimap.py NOT FOUND. Select executable! -u hittp://md.openapi.: 
Custom options Tampers 


| 15 http-//vconf.f.360.cn 


16 http://10.152.21.215:8080 — : -— 
ü DBMS | Auto Lv) apostrophemask halfversionedmorekeywords 


ee oe г) appendnullbyte modsecurityersioned 
18  http:/q.soft.360.cn Action [Auto ~) pp - 


base64encode modsecurityzeroversioned 
19 http'/'updatem.360safe.com 


| Entries for table(s) between С | versionedmorekeywords 
20 http:/sre.dl.360safe.com — a 


一 一 一 — space2dash space2mssqlblank 
| 21 http-//updatem.360safe.com Level .. MN Risk .. MN р р q 
22 http'//src.dl.360safe.com Verbose? [ J Fi int? [` PRISE — —À 
| 1 .dl. i ? ingerprint^ = = 
Е дегр 口 space2hash space2mysqlblank | 


< Random User-Agent? | ` 
= equaltolike space2mysqldash 


Request | Response Database ifnull2ifisnull J space2randomblank 
DBto enum | | multiplespaces versionedkeywords 


Ram | Params [Heese | нес 
Table to enum percentage randomcomments | 


GET http: //md.openapi.360.cn/list/get? | unmagicquotes space2morehash 
Host: md.openapi.360.cn 
Accept: */* 































Col to enum | | securesphere | charunicodeencode 
space2plus 器] chardoubleencode 














Userto enum 


Optimization Parameters to test 
|_| Turn on all optimization switches | product=360tray 
(_} Predict common queries output | version=1 
|_| Use persistent HTTP(s) connections 
= Get page length without actual body 








You can edit paraemters with double mouse clicking 





Threads [1 |_| Debug 


Help Exit 











从 图 中 我 们 可 以 看 出 ， 插 件 会 自动 抓 取消 息 内 容 并 解析 后 填充 到 相关 参数 设置 的 选项 里 
去 。 例 如 : 参数 和 参数 值 ， 请 求 方式 (ОЕТ/РОЅТ) ，url 地 址 等 。 同 时 ， 还 有 许多 与 
Sqlmap 本 身 测 试 使 用 的 选项 值 仍 需要 我 们 自己 指定 ， 其 中 最 主要 的 两 个 是 


bin 目 录 : 这 里 是 指 sqlImap.py 的 路 径 
Command : sqlImap 和 运行 时 执行 的 命令 行 


6. 设 置 bin 目 录 的 方式 很 简单 ， 点 击 【....】 按 钮 ， 选 择 到 sqlmap.py 的 存储 路 径 即 可 。 当 bin 
path 配 置 正确 后 ， 下 方 的 Command 会 自动 更 新 ， 随 着 设置 参数 的 不 同 ， 上 自动 调整 需要 执行 的 
sqlmap 命 令 行 о s s š 可 以 比较 设置 前 后 Command 值 的 变 

化 ， 即 可 以 知道 某 个 设置 对 应 于 sqlmap 参 数 的 哪 一 个 选项 ) ° 





+ J] Burp, Sglmap3t 4 EB 2165015 X Z; š$ 3t] i 


6. 设 置 bin 目 录 的 方式 很 简单 ， 点 击 【.…】 按 钮 ， 选 择 到 sqlmap.py 的 存储 路 径 即 可 。 当 bin 
path 配 置 正 确 后 ， 下 方 的 Command 会 自动 更 新 ， 随 着 设置 参数 的 不 同 ， 目 动 调整 需要 执行 的 
sqlmap 命 令 行 (如 果 不 理解 界面 操作 各 个 设置 的 含义 ， 可 以 比较 设置 前 后 Command 值 的 变 
化 ， 即 可 以 知道 某 个 设置 对 应 于 sqlmap 参 数 的 哪 一 个 选项 ) ° 


四 yy Praetorian @nathansportsman | =u E| Ж 











Target 
О. [|http/imd.openapi.360.cn:80/list/get?product-360tray&version-1 у { Del ] [GET jw) | 



















































































| Cookie 


Bin path | C:\sqlmap\sqlmap.py NOT FOUND. Select executable! Cm 


Command pythan.exe CAsglmapisalmap.py NOT FOUND. Select executable! -u http://md.openapi.: 
Custom options Tampers 
| DBMS (Auto w „з 


























Action | Auto 
Entries for tablets) 


Level (рав) Risk (Bg shell (Bg wat [F ISSUE_TEMPLATE.md 


Verbose? [ | Fingerpri (ig tamper (ij xml [| README.md 
Random User-Agent? | | (gg thirdparty | ^j .gitattributes | ^| sglmap.conf 
ТРЕД (gj tet | ^ .gitignore | ^| sqlmap.py 








"DB to enum (80 ud | Ü travis.yml | "| sqlmapapi.py 





Table ta enum 


Col to enum ZHAN): ^ sqimap.py 
Userto enum | ЖШТ: | 所 有 文件 B 


Optimization | 





























| |_| Turn on all optimization s 


[С] Use persistent HTTP(s) СОЛАЕ ТОЕ II! 


Threads | | 
L CJ Debug You can edit paraemters with double mouse clicking 


| Help | | Exit 














7. 所 有 的 配置 正确 之 后 ，【run】 按 钮 将 被 激活 ， 点 击 【run】， 系 统 自 动 进 入 sqlImap 扫 描 阶 


段 。 


=| SQLMap wrapper vO. 9. “з by 1 @ggdaniel - Win port by Praetorian @nathansportsman 


! | SQLMap options | k 


UR... | nttp.ilmd.openapi.360.cn:80/list/aet?product-360trav&version-1 














search: 


|  Savetofle.. | | Closetab | 





当 进 入 sqlmap 扫 描 阶 段 时 ， 插 件 会 新 增 一 个 tab 页 面 ， 显 示 执 行进 度 ， 即 如 上 图 的 箭头 所 指 


8. 我 们 可 以 通过 进度 跟踪 的 界面 上 的 【save tofile】 和 [close tab】 来 保存 扫描 结果 和 关闭 、 
终止 扫描 。 


> 与 命令 行 方式 执行 sqlmap 脚 本 相 比 ， 操 作 变 得 更 加 方便 。 比 如 说 ， 在 命令 

行 环 境 中 ， 我 们 需要 先 抓 取 cookie 信 息 ， 才 能 放 入 到 命令 行 里 执行 ; 亦 或 者 ， 我 们 需要 手工 录 
入 一 个 个 参数 进行 命令 行 操 作 ， 而 在 gason 插 件 环境 中 ， 这 些 都 不 需要 。 当 我 们 点 击 【Ssend 
to sqlmap 】 时 ， 插 件 自动 帮 有 我 们 完成 了 这 些 操 作 。 且 与 sqlmap 个 性 设置 的 选项 ， 我 们 也 可 以 
通过 界面 操作 ， 自 动 完 成 ， 比 命令 行 下 更 直观 、 更 高 效 。 


使 用 加 强 版 sqlmap4burp 括 件 +SdqlIMap 批 量 测试 SQL 注入 漏洞 


如 果 你 只 想 执行 一 次 sqImap 的 操作 ， 即 A: 个 链接 地 址 的 SQL 注入 漏洞 测试 ， 使 用 
gason 插 件 的 方式 操作 起 来 会 比较 麻烦 。 那 么 ， 是 否 存在 批量 检测 的 使 用 方法 呢 ? 国内 比较 
著名 的 安全 网 站 freebuf 上 有 两 篇 类 似 的 文章 ， 感 兴趣 的 同学 可 以 自己 阅读 看 看 。 


1. 【优化 SQLMAP 的 批量 测试 能 】http://www.freebuf.com/sectool/75296.html 
2. 【我 是 如 何 打 造 一 款 自 动 化 SQL 注 入 工具 】http://www.freebuf.com/sectool/74445.html 


通过 上 面 的 两 篇 文章 ， 我 们 可 以 看 出 ， 批 量 操作 在 实际 应 用 中 非常 常见 ， 如果 能 解决 批量 问 
题 ， 则 大 大 地 提高 了 我 们 的 工作 效率 ， 下 面 我 们 一 起 来 研究 一 下 如 何 解 决 这 个 问题 。 


在 Sqlmap 的 官方 文档 中 有 这 样 的 介 


sglmap user's manual 5 History 


5.13.3 Parse targets from Burp or WebScarab proxy logs 


Option: -1 

Rather than providing a single target URL, it is possible to test and inject 
against НТ ТР requests proxied through Burp proxy or WebScarab proxy. This 
option requires an argument which is the proxy's HTTP requests log file. 


这 段 话 中 我 们 可 以 看 出 ，sqlmap 可 以 通过 -| 参数 ， 一 次 检测 多 个 url 的 注入 问题 ， 这 个 参数 
proxy 或 者 WebScarab proxy 的 日 志文 件 。 那 么 ， 我 们 是 否 可 以 通过 插件 的 方式 ， 
自动 生成 类 似 的 日 志文 件 ， 然 后 调用 Sqlmap， 解 决 批量 检测 的 问题 ? 答 委 当然 也 是 肯定 的 。 
在 github 上 ， 网 友 difcareer 公 开 了 一 个 Burp 插 件 sqlmap4burp， 产 文件 地 址 
为 : https://github.com/difcareer/sqlmap4burp。 我 们 就 基于 此 插件 的 功能 拓展 ， 来 完成 自动 
化 批量 SQL 测 试 的 功能 。 


首先 ， 我 们 来 规划 一 下 这 个 插件 的 使 用 场景 : 


当 通 过 Burp 代 理 的 HTTP 流 量 消息 都 记录 在 HTTP History 列表 中 ， 我 们 可 以 批量 地 选中 
多 个 ur|， 由 插件 目 动 生成 类 似 Burp proxy 的 日 志文 件 ， 然 后 调用 sqlmap 进 行 检 测 。 


第 十 入 章 使 用 Burp, Sqlmap 进 行 自动 化 SQL 注入 渗透 测试 
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2. 将 获取 的 HTTP 消 息 按照 proxy 日 志 的 格式 ， 生 成 日 志文 件 。 


志文 件 作 为 参数 值 进行 检测 。 


3. 调用 sqlmap.py 脚 本 ， 传 递 生 成 的 日 


明白 了 这 些 ， 接 着 我 们 来 看 proxy 的 日 志文 件 格 式 。 
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Hotkeys 


2. 
Im These settings let you configure hotkeys for common actions. These include item-specific actions such as "Send to Repeater’, global actions such as "Switch to Proxy 






| Hotkey 
Ctl+R 
Сіп 
Forward intercepted Proxy message Ctrl+F 
Toggle Proxy interception САП+Т 
Switch to Target Ctr+Shift+T 


Switch to Proxy Choose а log file + 


Edit hotk ————— MÀ 
| Edithotkeys | ЖЕП: | аб Desktop | 


(Bg 160-}-CrackMe 









send to Repeater 
send to Intruder 













t2 Logging (Bg autoMsg 
Im These settings control logging of HTTP requests and resp. 局 bp 
"m АБ bp doc 
All tools: | | Requests | | Responses Ша р. 
= (gi C324sm 
Proxy: [v] Requests | | Responses 
Spider: | | Requests [| | Responses 
Intruder: | | Requests | | Responses 


Sees): | APA "| 


Repeater: [ | Requests [| | Responses 
Sequencer. | | Requests | | Responses 


Extender: | | Requests [| | Responses Le | EL 


Temporary Files Location 


These settings let you configure where Burp stores its temporary files. Changes will take effect the next time Burp starts up. 


(©) (5) 


(е) Use default system temp directory 


(С) Use custom location: Choose folder... 


如 上 图 所 示 ， 我 们 通过 【Options】>> [Misc] >> 【Logging】 选 中 Proxy 的 Requests 选 项 ° 
自动 弹出 保存 日 志文 件 的 路 径 和 文件 名 ， 点 击 【 保 存 】 按 钮 后 ， 则 文件 生成 并 开始 记录 Proxy 
的 请 求 消息 。 我 们 把 生成 的 日 志文 件 用 记事 本 打开 后 发 现 ， 日 志 格 式 如 下 : 


第 十 八 草 使 用 Burp, 50!тар#т B 21605015 X BBM IK 


2 


Content-Length: 774 


Content-Type: application/x-www-form-urlencoded 





上 图 一 共 两 条 消息 ， 每 一 条 消息 内 容 又 包含 图 中 1 的 头 部 ， 图 中 2 的 消息 内 容 和 图 中 3 的 尾部 构 


成 ， 而 图 中 2 的 部 分 即 是 消息 请 求 的 详细 内 容 ， 则 我 们 按照 此 格式 手工 构造 日 志文 件 ， 通 过 修 
改 sqlImap4burp 的 源码 (Windows 环 境 下 ) 从 而 来 完成 这 个 功能 。 
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ДЕ ЖАП SnifferContextMenuFactory.java ®) & 411422] Yf A SRR A u createMenultems 4 žk А 
部 的 actionPerformed 有 函数 ， 遂 修改 此 段 代码 为 : 


@Override 
public List«JMenultem» createMenultems(final IContextMenuInvocation invocation) í 
List«JMenultem» list = new ArrayList<JMenuItem>(); 
JMenuItem jMenuItem = new JMenuItem("send to Sqlmap"); 
list.add(jMenuItem); 
jMenuItem.addActionListener(new ActionListener() í 
@Override 
public void actionPerformed(ActionEvent e) { 
IHttpRequestResponse[] messages = invocation.getSelectedMessages(); 
File file = new File(Context.getTempReqName(true) ); 
// PPMP AS, append AtEm H EAHA 
for(int i=0;i<messages. length; i++) 
byte[] req = messages[i].getRequest(); 
try { 
/ [8S ESHER ASS 
FileUtils.writeByteArrayToFile(file, createLogHeader(messages[i]),true); 
/ / 添加 单条 的 http 信 息 
FileUtils.writeByteArrayToFile(file,req,true); 
/添加 单条 的 日 志 尾 部 信息 
FileUtils.writeByteArrayToFile(file,createLogFooter(),true); 
} catch (IOException е1) í 
el.printStackTrace(); 
j 


j 
System.out.println("sent to sqlMap"); 
new Thread(new SqlmapStarter()).start(); 


} 
)); 
return list; 
} 
而 创建 日 志 头 部 和 尾部 的 代码 主要 是 拼写 同 格式 的 字符 串 ， 详 细 如 下 : 
/** 
* 构造 1og 日 志 尖 部 信息 ， 格 式 如 : 
A — > =з > шын > шын eee 
* 10:24:42 http://10.152.21.215: 8080 
| -— ———————————————————— ——————————— P 
"y 


private byte[] createLogHeader(IHttpRequestResponse messages) 
StringBuffer sb - new StringBuffer(); 
IRequestInfo analyzeRequest = helpers.analyzeRequest(messages); // 对 消息 体 进行 解析 
URL url - analyzeRequest.getUrl(); 


sb : append ( DX =-= = === ш шшш € —À — шш — ш шш ш ш шшш шш ш шш пш = ш шшш шш — ш ш шш ш шшш шшш шш шшш шшш — — — \n" ) , 
sb.append(getNowDate()-"  “+url.getProtocol()+"://"+url.getHost()+":"+url.getPort()+"\n"); 
sh.append( "======================================================Wn”); 
return sb.toString().getBytes(); 
} 
/** 
* 构造 1og 日 志 昨 部 情 息 ,格式 如 下 : 
г == > > = > => ызы ылды „ын Же, he PPE NSE тыру Tcu. 
*/ 


private byte[] createLogFooter(){ 
StringBuffer sb = new StringBuffer(); 
sb appendi ======== warrnin” ys 
return sb.toString().getBytes(); 


第 十 入 章 使 用 Burp, Sglmap3t4T B 2165015 ^9 1, 


同时 ， 修 改 sqlImap 参 数 的 调用 方式 ， 修 改 SqlImapStarterjava 的 第 21 行 为 : 
public class SqlmapStarter implements Runnable í 


@Override 
public void run() { 


try { 
StringBuilder sb = new a 
text.get 





if (isNotBlank oe usenet ig 
sb.append(" " + Context.userConfig) ; 


File batFile = new File(Context.getTempBatName(true) ) ; 
if (!batFile.exists()) í 

batFile.createNewFile(); 
| 


这 样 ， 我 们 可 以 实现 批量 操作 的 功能 了 。 
插件 和 源码 可 以 通过 如 下 地 址 进行 下 载 : 插件 下 载 源码 下 载 


下 载 完毕 后 ， 请 参考 sqlmap4burp 的 readme 完 成 基本 的 配置 放 可 以 使 用 ， 否 则 sqlImap 调 用 将 
会 失败 ， 无 法 完成 批量 检测 。 








插件 安装 宛 毕 示 跟 原来 的 插件 并 无 多 大 区 别 ， 如 下 图 是 发 送 多 条 url 到 SqlMap 的 截图 : 
115s http:/se.360.cn GET Icloud/picinfo.ini [ LJ 200 
116 Attpvvconf.f.360.cn POST /safe update ЕЈ jJ 200 
117 https f360.cn POST scan n Ы 20 











— — htpymes qhmsg. comhipsipo. 1959485578911=1808№=261915039 
http:q.sof.360.cnl даар SS 














































































































Add to scope 





























































121 http://q.soft. 360.cn Remove from scope 100 

: http-//q.soft. 360.cn ES 100 
a spider from here 

hHr ha e nA E: FI rm а гы 






Do ап active scan 






Do а passive scan 


GET send TT Sqlmap 


T= 21 60 тга 71 ол г. 


生成 的 日 志文 件 的 截图 : 


send to Comparer (requests) 





send to Comparer (responses) 














= 
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第 十 入 章 使 用 Burp, Sqlmap 进 行 自动 化 SQL 注 入 渗透 测试 


Er 编辑 1 "d 1480054195903.req x | ® ызы? | log.txt | 
10 20 





NEEDLE АИ EE CE ERN н awayka a as, 
W eee eee 
2 14:09:55 http://res.qhmsg.com:80 
3 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


4 GET http://res.qhmsg.com/hips/popwnd/data-20140222 js on?mid-cb58ac3 РВ 
5 Host: res.ghmsg.com 

6 Accept: */* 

7 Pragma: no-cache 


12 

13 ====================================================== 

14 14:09:55 һїїр://10.152.21.215:8080 

一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

16 GET http://10.152.21.215:8080/push/EntClientPush.cab?t=274& mid-e836cb7f73f030; 
17 User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1) 

18 Host: 10.152.21.215:8080 

19 Accept: */* 

20 Connection: Keep-Alive 

21 Cache-Control: no-cache 


sqlmap 窗 口中 一 次 可 以 检测 多 个 ur 截图 : 
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Em LAWindows a Memd.exe =B | el 


ЕЕ sqilmap.py 一 C: Users — AppData’sLocal\Temp* 1486654195903 
„кец ——hatch -smart 


11.H.11.14Hdeu* 


http: //“sqlmap.org 


Slt] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent 
is illegal. It is the end user’s responsibility to obey all applicable local, state and 
federal laws. Developers assume no liability and are not responsible for any misuse or 

damage caused by this program 


[+] starting at 14:14:46 


URL 1: 

GET http: //res.qhmsg.comhips-popwnd-/data—-26148222 .json?mid=ch5 т 76 c h24a 
h92a&status-ii&e-28 ИНН кес л 09911 -1&USN-26 SGD: 

do you want to test this URL? Гулп] 

> Y 


шс тсс с w ë ë e 


[14: 1! 671 [CRITICAL] unable to connect to the target URL. sqlmap is going to retry the 
re 
reque <s) 


URL 2: 

GET http:22W|0B_152._21.215:8B8B ТЕЗ ТАНАРА А Push. cab? t =274&mid =e 8 Жү а и а 4h71 
й1е22а5&тас -сВйаа®с.йаавВЬ&.1 p - f ЙИШ ho st =АМСС-ОР-ЗМИЬ2& = 1=2И1Ь.11.2Ь5=2ИИИ:24:ЬЬ.1& 
ver=3 .6.8.15468dm= 





使 用 Burp、PhantomJS 进 行 XSS 检 测 


XSS ( 跨 站 脚本 攻击 ) 漏洞 是 Web 应 用 程序 中 最 第 见 的 汤 洞 之 一 ， 它 指 的 是 恶意 攻击 者 往 
Web 页 面 里 插入 和 亚 意 html 代 码 ， 当 用 户 浏览 该 页 之 时 ， 骨 入 其 中 Web 里 面 的 html 代 码 会 被 执 
行 ， 从 而 达到 恶意 攻击 用 户 的 特殊 目的 ， 比 如 获取 用 户 的 cookie， 导 航 到 恶意 网 站 ， 携 带 木 马 
等 。 根 据 其 触发 方式 的 不 同 ， 通 常 分 为 反射 型 XSS、 存 储 型 XSS 和 DOM-base 型 XSS。 浙 

洞 “ 注 入 理论 ”认为 ， 所 有 的 可 输入 参数 ， 都 是 不 可 信任 的 。 大 多 数 情 况 下 我 们 说 的 不 可 信任 的 
数据 是 指 来 源 于 HTTP 客 户 端 请 求 的 URL 参 数 、form 表 单 、Headers 以 及 Cookies 等 ， 但 是 ， 
与 HTTP 客 户 端 请 求 相 对 应 的 ， 来 源 于 数据 库 、WebServices、 其 他 的 应 用 接口 数据 也 同样 是 
不 可 信 的 。 根 据 请 求 参 数 和 响应 消息 的 不 同 ， 在 XSS 检 测 中 使 用 最 多 的 就 是 动态 检测 技术 : 
以 编程 的 方式 ， 分 析 响 应 报 文 ， 模 拟 页 面 点 击 、 和 鼠标 滚动 、DOM 处 理 、CSS 选择 器 等 操 

作 ， 来 验证 是 否 存在 XSS 漏 洞 。 


本 章 包含 的 内 容 有 : 


1. XSS8F] 69 RAKE 
2. PhantomJS £ XSS4% | Ф 85 4$ JE] Дд 3€ 
3. 使 用 XSS Validatord& £F 3t 4TXSS ЖЕ] HE M] 


XSS 漏 洞 的 基本 原理 


一 般 来 说 ， 我 们 可 以 通过 XSS 漏 洞 的 表现 形式 来 区 分 漏洞 是 反射 型 、 存 储 型 、DOM-base 三 种 

中 的 哪 一 种 类 型 。 

1， 反 射 型 XSS 是 指 通 过 给 别人 发 送 带 有 恶意 脚本 代码 参数 的 URL， 当 URL 地 址 被 打开 时 ， 
带 有 恶意 代码 参数 被 HTML 解 村 、 执 行 。 它 的 特点 是 非特 久 化 ， 必 须 用 户 点 击 带 有 特定 参 
数 的 链接 才能 引起 。 它 的 连接 形式 通常 如 下 : 


http://localhost/vulnerabilities/xss_r/?name=<script>alert(1);</script> 


其 name 参 数 的 值 为 <script>alert(1);</script> ， 这 样 的 参数 值 进 入 程序 代码 后 未 做 任 
何 处 理 ， 从 而 被 执行 。 其 类 似 的 源 代码 如 下 图 : 


e Damn Vulnerable Web Application (DVWA) v1.9Source :: Damn Vulnerable Web Applica 


= localhost/vulnerabilities/view_source.php?id=xss_r&tsecurity=low 


XSS (Reflected) Source 


<?рһр 


/ 15 there any input? 

if( array key exists( "пате", $ GET ) && © GET[ ‘name’ ] != NULL) { 
// Feedback for end user 
echo ‘<рге> Нео '. $ GET[ ‘name’ ] '«/pre»* 


) 


?> 








2. 101х995 16 5 = 意 脚本 代码 被 存储 进 数据 库 ， 其 他 用 户 正 常 浏览 网 页 时 ， 站 点 从 数 
据 库 中 读 取 了 非法 用 户 和 存储 的 非法 数据 ， 导 致 悉 意 RAS 被 执行 。 通 常 代码 结构 如 下 
А : 


Vulnerability: Stored Cross Site Scripting (XSS) 


test name 
«script» alert(1); «/script- 


Message * 


віц Guestbook. 





localhost/vulnerabilities/view source.php?id-xss s&security-zlow 
үү GEUITTDUT 
$message = trim( $ POST[ 'mtxMessage' ] ); 
fname = trim( $ POST[ txtName' ] ): 


// Sanitize message input 
$message = stripslashes( $message ); 
$message = mysql real escape string( $message ): 


// Sanitize name input 
$name = mysql real escape string( $name ); 


// Update database 
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', ‘$name’ ):": 
$result = mysql query( $query ) or die( "<pre>". mysql_error() . *</рге>'); 


//mysal closer); 





其 发 生 XSS 的 根本 原因 是 服务 器 端 对 写 入 数据 库 中 的 内 & A fik javascript 431 过 滤 
3，DOM-base 型 XSS 是 指 在 前 端 页 面 进 # сна 时 ， 带 有 恶意 代码 的 片段 被 HTML 解 
析 、 执 行 ， 从 而 导致 XSS 漏 洞 。 


PhantomJS 在 XSS 检 测 中 的 使 用 原理 


—— : http://phantomjs.org， 目 前 最 新 版 本 2.1。 它 是 一 个 基于 WebKit 的 服 

5 з JavaScript API， 即 在 无 需 浏览 器 的 支持 的 情况 下 可 实现 Web 浏 览 器 功能 的 支持 ， 例 如 
DOM 处 理 、JavaScript、CSS 选 择 蜂 、JSON、Canvas 和 可 缩放 拓 量 图 形 SVG 等 功能 。 基 于 
它 具 有 的 功能 ， 通 第 被 用 于 以 下 场景 : 


1. 无 需 浏 览 器 的 Web 测 试 : 支持 很 多 测试 框架 ， 如 YUI Test、Jasmine、WebDriver、 
Capybara ` QUnit ` Mocha 

2. 页 面目 动 化 操作 : 使 用 标准 的 DOM API 或 一 些 JavaScript 框 架 〈 如 jQuery) 访问 和 操作 
Web 页 面 。 

3. 屏幕 捕获 : 以 编程 方式 抓 起 CSS、SVG 和 Canvas 等 页 面 内 容 ， 即 可 实现 网 络 疏 虫 应 用 。 
— M >wRAMRS S £= 4 E S B] ° 

4. 网 络 监控 : 自动 进行 网 络 性 能 监控 、 跟 踪 页 面 加 载 情况 以 及 将 相关 监控 的 信息 


我 们 这 里 使 用 的 主要 是 利用 PhantomJS 提 供 的 JavaScript AP1 调 用 监控 和 触发 接口 ， 方 便 地 
操作 html 页 面 DOM 节点 并 模拟 用 户 操 作 。 


在 Burp Extender 的 BApp Store 中 有 一 个 XSS 的 检测 的 插件 XSS Validator， 就 是 利用 
phantomJS 和 slimerJS 的 这 些 特 性 ， 来 完成 漏洞 验证 的 。 下 面 我 们 一 起 来 看 看 它 的 原理 。 


在 插件 安装 目录 的 xss-detector 子 目录 下 有 一 个 xss.js 的 文件 ， 就 是 phhantomJS 检 测 的 具体 实 
现 。 在 代码 中 我 们 看 到 ， 默 认 情 况 下 ， 在 本 地 主机 的 8093 端 口语 动 了 一 个 监听 服务 ， 并 充当 
中 间 人 代理 的 功能 。 


var DEBUG = true 


var system = require(: stem }; 
var fs = require( fs Y; 


// Create xss object that will be used to track XSS information 
var xss = new Ü bj ect(); 


xss. value = 0: 


// Create webserver object 
T 


var webserver = req uire( webserver ); 


server = webserver. сгеаїе(); 


// Server config details 
ar host = 127.0.0.1.; 





使 用 Burp、PhantomJS 进 行 XSS 检 测 





当 phantomJS 服 务 启动 ， 拦 截 到 请 求 后 即 通过 API 接 口 请 求 页 面 并 初始 化 。 在 初始 化 过 程 中 ， 
设置 TA Jt] web z 4 4 3] ÉN XSS # tt x js 操作 等 o 


// Initialize webpage to ensure that all variables are 
// initialized. 
var wp = relnitializeWebPage(); 


// Start web server and listen for requests 
m" m" IT og a m" E 
J var service = server.listen(host + : + port, function(request, response) | 


| 
JAY ° É X 3Lalert ^ confirm ^ prompt Ж > 12. XSSJe INÈ 8; ° 


// Custom handler for alert functionality 
wp.onAlert = function(msg) í 


console.log( On alert: " + msg); 
xss.value - 1; 
xss.msg += XSS found: alert( + msg + ); 


}; 


wp.onConsoleMessage = function(msg) | 
console.logz( On console.log: + msg): 
I. К E - Usl. ге. B | Ë : 


xss.value = 1; 
бсш rl 1%1 
xss.msg += XSS found: console.log( + msg + ); 


}; 


wp.onConfirm = function(msg) ! 
console.log( On confirm: " + msg); 


xss.value = 1; 
Kss. msg += XSS found: confirm( + msg + Y: 


ў 


wp.onPrompt = function(msg) í 
console.log( On prompt: + msg); 


xss.value = 1; 
1 


xss.msg += XSS found: prompt( + msg + ); 


J: 


而 对 于 js 事件 检测 的 处 理 ， 主 要 是 通过 事件 分 发 函数 去 做 的 。 


// Evaluate page, rendering javascript 
| xssInfo = wp.evaluate(function (wp) Í 
var tags = ['а", "abbr", "acronym", ‘address’, "a apple t" area, article, aside, audio, 


var eventHandler = ["mousemove , mouseout", mouseover | 


// Search document for interactive HTML elements, and hover over each 
// In attempt to trigger event handlers. 
tags.forEach(function(tag) Í 
currentTa gs = document. querySelector(ta g); 
| if (currentTags !-- null) 
| eventHandler.forEach(function(currentEvent)! 
var ev = document.createEvent( MouseEvents ); 
ev.initEvent(currentEvent, true, true); 
currentTags.dispatchEvent(ev); 


// Return information from page, if necessary 
return document; 


Ь wp) 


理解 了 这 些 过 程 ， 基 本 上 XSS Validator 使 用 phantomJS 对 XSS 检 测 的 原理 已 经 学 握 了 。 关 于 
这 个 原理 的 类 似 分 析 ， 新 浪 微 博 网 友 @ 吃 瓜 群 众 -Friday 的 文章 说 得 很 清楚 ， 传 送 门 地 
址 : http://www.tuicool.com/articles/3emU7n 


用 图 例 来 描述 其 交互 过 程 ， 如 下 图 : 


拦截 iIntruder] 青 求 构造 
; йү & Sphantomjs 
ВЕ оа тз 





intruder start 


xssValidator payload Ж nb zz intrudersg PE 


— ie 


Bb E AKIA TZ 


sa ees a E pz EE dud 


Web 服 务 器 


在 插件 处 理 中 几 个 关键 点 是 需要 我 们 特别 关注 的 : 


1. Intruder 使 用 了 XSS VO aa ' 将 插件 与 Intruder 两 者 联动 合 起 来 。 
2. 插件 对 Intruder 发 送 的 消息 进行 拦截 处 理 ， 转 交 phantomjs 服 务 监 听 端 口 处 理 。 


3. х55.]578 kik 3 уер # Z5 + Hata Bit 11 
4. lntruder 组 件 根 据 Grep Phraseta & Б 272 


处 理 ， 添 加 Grep Phrases = 
否 存在 漏洞 


只 有 理解 了 phantomJS 在 检测 XSS 中 的 原理 ， 我 们 才 可 以 在 工作 中 ， 根 据 实 际 情况 ， 对 诸如 
XSs.js 文 件 进行 修 改 ， 来 达到 满足 我 们 自己 业务 需求 的 目的 ， 而 不 仅仅 拘泥 了 插件 使 用 的 本 身 


功能 。 


使 用 XSS Validator 插 件 进行 XSS 漏 洞 检测 


上 一 节 我 们 熟悉 了 phantomJS 检 测 xss 的 基本 原理 ， 现 在 我 们 一 起 来 看 看 XSS Validator 插 件 的 


使 用 。 


XSS Validator 插 件 的 安装 依旧 是 可 以 通过 BApp Store 安 装 和 手工 安装 两 种 方式 ， 手 工 安装 需 


要 下 载 源 码 进 行 编译 ， 这 里 提供 项 目的 github 地 


址 ，https://github.com/nVisium/xssValidator。 安 装 过 程 由 读者 自己 完成 ， 如 果 不 明白 安装 ， 


请 阅读 Burp 插 件 使 用 相关 章节 。 安 装 完毕 





后 ， 插 件 的 界面 如 下 图 所 示 : 


Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | xssValidator | 


xssValidator 


Created By: John Poulin (@forced-request) 
Version: 1.3.0 


xssValidator is an intruder extender with a customizable list of payloads, that couples 
with the Phantom js and Slimer.js scriptable browsers to provide validation 
of cross-site scripting vulnerabilities. 


Getting started: 


«e Download latest version of xss-detectors from the git repository 

e Start the phantom server: phantomjs xss.js 

@ Create а new intruder tab, select Extension-generated payload. 

а Under the intruder options tab, add the Grep Phrase to the Grep-Match panel 
@ Successful attacks will be denoted by presence of the Grep Phrase 


*hantomJS Server Settings http//127.0.0.1:8093 


<script-{JAVASCRIPT}</script= 

















ylimer Server Settings http://127.0.0.1:8094 

згер Phrase fy7sdufsuidfhuisdf 

lavascript functions alert,console.log,confirm,prompt 

lavascript event handlers onmousemove, onmouseout, onmouseover 


Payloads 
Custom Payloads can be defined here, seperated by linebreaks. 


€ {JAVASCRIPT} placeholders define the location of the Javascript function. 
€ (EVENTHANDLER) placeholders define location of Javascript events, 
such as onmouseover, that are tested via scriptable browsers. 


«scr ipt>{JAVASCRIPT}</scr ipt» 
“><script>{JAVASCRIPT}</script= 
“><script>{JAVASCRIPT}</script==<" 
‘><script>{JAVASCRIPT}</script= 
‘><script>-{JAVASCRIPT}</script=<" 
=<SCRIPT={JAVASCRIPT}:</SCRIPT=> 

«scri«script»pt» (JAVASCRIPT); «/scr«/script»ipt- 
xSCRIsscript» PT2LJAVASCRIPTY; «/SCR/script-IPT7 
<scri<scr<script>ipt>pt>{ JAVASCRIPT} «/scr«/sc«/script»ript»ipt 
"{JAVASCRIPT¥”" 

"JAVASCRIPT; 

{JAVASCRIPT}. 
<SCR%00IPT={JAVASCRIPT}</SCR%00IPT= 
YJAVASCRIPT}// 

<STYLE TYPE="text/javascript"={JAVASCRIPT}:</STYLE= 
<<SCRIPT={JAVASCRIPTH/<</SCRIPT= 
“{EVENTHANDLER}=(JAVASCRIPT} 
<<SCRIPT={(JAVASCRIPTH/<</SCRIPT=> 

«img src="1" onerror="{JAVASCRIPT}"> 

<img 5гс='1' onerror="{JAVASCRIPT} 
onerror="{JAVASCRIPT}" 

onerror={JAVASCRIPT} 

onload="{JAVASCRIPT}" 

onload="JAVASCRIPT} 

<IMG ""><SCRIPT={JAVASCRIPT}</SCRIPT="> 

<IMG “><SCRIPT={JAVASCRIPT}</SCRIPT="> 

"e Q0oDPIPTs/ IAVASCCPRIPTL 


上 图 中 的 左 侧 为 插件 运行 时 需要 配置 的 参数 ， 右 侧 为 验证 XSS 漏 洞 的 payload。 在 使 用 插件 


前 ， 有 一 些 关 于 phantomjs 的 具体 配置 需要 我 们 关注 。 
装 时 ， 安 装 界 面 上 提供 了 的 使 用 说 明 里 的 。 


这 也 是 我 们 在 通过 应 用 商店 进行 插件 安 





Extensions BApp Store | APIS | Options 


BAPP Store | 


The BApp Store contains Burp extensions that have been Written by users of Burp Suite, to extend Burp's capabilities. 


Name Installed Rating | Detail | 








Х55 Validator 
Random IP Address Header 


Reflected Parameters 
Reissue Request Scripter 












olent Pro extension 


This extension S responses to a locally-running XSS-Detector server, powered by either Phantom.js and/or Slimer.js 








' : Usage: 
Report To Elastic Search =з» Рго extension 
RequestRandomizer yov ook Before starting an attack itis necessary to start the XSS-Detector servers. Navigate to the xss-detector directory and execute the following: 
Retire js жй Pro extension $ phantomisxss JS Z 
SAML Editor kitts: $ slimerjs slimer.js & 
SAML Encoder / Decoder tok ny 
SAML Raider Ж ЖЖЖЖ The server will listen by default on port 8093. The server is expecting base64 encoded page responses passed via the http-response, which will 
-— be passed via the Burp extender. 
Sentinel Soto 
Session Auth Navigate to the xssValidator tab, and copy the value for Grep Phrase. Enter this value within the Burp Intruder grep-match function. Payloads that 
Session Timeout Test ЖЖЖЖ match this Crep Phrase indicate successful execution of XSS payload. 





Site Map Fetcher Examples: 





Software Version Reporter oleo Pro extension 
sQLiPy kiki. Within the xss-detector directory there is a folder of examples which can be used to test the extenders functionality. 
ThreadFix ttt Pro extension e Basic-xss.php: This is the most basic example of a web application that is vulnerable to XSS. It demonstrates how legitimate javascript 


WCF Deserializer ЖУСУ functionality, such as alerts and console logs, do not trigger false-positives. 

Webinspect Connector oleo: Pro extension cu is | ae I 
WebSphere Portlet State D... ° ae This demonstrates a XSS vulnerability that occurs when users attempt to filter input by running it through a single-pass 
What-The-WAF 

WSDL Wizard € Dom-xss.php: À basic script that demonstrates the tools ability to inject payloads into javascript functionality, and detect their success. 


DOECO 





Wsdler я м 
Requires Java version 7 





| Refresh list | | Manual install ... | 





A- 


在 执行 Intruder 之 前 ， 必 须 通 过 命令 行 phantomjs xss.js 启动 xSS 检 测 服 务 ， 也 是 phantomjs 的 
服务 监听 端口 。 这 就 使 得 我 们 在 执行 命令 行 之 前 ， 需 要 将 phantomjs 安 装 好 ， 并 加 入 到 环境 变 
' 否则 无 法 执行 。 至 于 phantomjs 的 安装 非 第 简单 ， 如 果 你 实在 不 会 ， 建 议 你 阅读 此 文 

° 传递 地 址 : http://www.mincoder.com/article/4795.shtml 


装 完 之 后 ， 执 行 phantomjs xss.js， 控 制 台 界面 显示 如 下 ， 并 无 其 他 提示 信息 


etoolsBurpsuite_proshapps"s98275a25394a417c948Brf5874Bcl1d981"%xss-detector>phant 





为 了 简单 地 说 明 使 用 方法 ， 其 他 的 参数 我 们 都 采取 默认 配置 ， 只 修改 Grep Phrase 和 
JavaScript functions 两 个 参数 : Grep Phrase 修 改 为 Xxs_result, 作 为 检测 标志 和 列表 头 。 
JavaScript functions 中 我 们 仅 使 用 alert， 其 他 的 都 暂时 去 掉 。 便 于 我 们 从 控制 台 观 侍 结 果 。 我 
们 最终 的 配置 结果 如 截图 所 示 : 





Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | xssValidator 


xssValidator Payloads 


Created By: John Poulin (@forced-request) Custom Payloads can be defined here, seperated by linebreaks. 


Version: 1.3.0 e {JAVASCRIPT} placeholders define the location of the Javascript function. 
э {EVENTHANDLER} placeholders define location of Javascript events, 
xss Validator is an intruder extender with a customizable list of payloads, that couples such as onmouseover, that are tested via scriptable browsers. 
with the Phantom js and Slimerjs scriptable browsers to provide validation 
of cross-site scripting vulnerabilities. <script>{JAVASCRIPT}</script> А 
«scr ipt>{JAVASCRIPT}</scr ipt> 
Getting started: "><script>JAVASCRIPT}</script> 


“><script>{JAVASCRIPT}</script=<" 
‘><script>{JAVASCRIPT}</script= 

'"«script- LJAVASCRIPT)«/script»« 
zSCRIPT-(JAVASCRIPTY;s/SCRIPT-7 
<scri<script>pt>{ JAVASCRIPT} «/scrz/script»ipt- 
<SCRI<script-PT={JAVASCRIPT}:</SCR-/script=IPT= 
<scri<scr<script>ipt>pt={JAVASCRIPT}:</scr</sc</script=ript=ipt= 
“{JAVASCRIPT}:" 

?hantomJS Server Settings http://127.0.0.1:8093 {JAVASCRIPT}; 

{JAVASCRIPT}. 
<SCR%00IPT={JAVASCRIPT}</SCR%O00IPT= 
Y{JAVASCRIPTHI/ 

«STYLE TYPE="textjavascript"={JAVASCRIPT}:</STYLE= 
<<$CRIPT={JAVASCRIPTH/<</SCRIPT= 
“{EVENTHANDLER}={(JAVASCRIPT} 

Srep Phrase xss_result <<§$CRIPT=(JAVASCRIPTH/<</SCRIPT= 

«img src="1" onerror="{JAVASCRIPT}"> 

«img 5гс='1' onerrorZ- LJAVASCRIPTY 
onerror="{JAVASCRIPT}" 

Javascript functions alert onerror="{JAVASCRIPT} 

[ onload="{JAVASCRIPT}" 

onload="{JAVASCRIPT} 

<IMG ""><SCRIPT={JAVASCRIPT}</SCRIPT="> 

<IMG “><SCRIPT={(JAVASCRIPT}</SCRIPT="> 


"OP DIDT-.f IAUACCDIDT 


ә Download latest version of xss-detectors from the git repository 

а Start the phantom server: phantomjs xss js 

€ Create a new intruder tab, select Extension-generated payload. 

@ Under the intruder options tab, add the Grep Phrase to the Grep-Match panel 
@ Successful attacks will be denoted by presence ofthe Grep Phrase 


Slimer Server Settings http://127.0.0.1:8094 




















Javascript event handlers onmousemove,onmouseout,onmouseover 


第 十 九 章 使 用 Burp、PhantomJS 进 行 XSS 检 测 


配置 完 插件 之 后 ， 我 们 需要 配置 Intruder。 首先 ， 指 定 Grep Phrase 的 值 。 


[Ó These settings control what information is captured in attack results. 


国 Store requests 

[V] Store responses 

[V] Make unmodified baseline request 

|_| Use denial-of-service mode (no results) 
|_| Store full payloads 


Grep - Match 


(е) These settings сап be used їо flag result items containing specified expressions. 


Match type: (&) Simple string 
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接着，Intruder 的 payload 生 成 器 需要 设置 为 xssValidator 的 。 
| Intruder attack 9  — = oo 
АПаск Save Columns 


Results 


(? | Payload Positions 


Configure the positions where payloads will be inserted into the base request. The attack type determines the way in which 
payloads are assigned to payload positions - see help for full details. 


Attack type: Sniper 


GET http://10.152.21.215/vulnerabilities/xss r/?namd- 

Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml-c-ml, 

image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, 
application/msword, */* 

Referer: http://10.152.21.Z215/vulnerabiliries/Xxs858 гу 

Accept-Language: zh-CN 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCCZ; .NET CLR 

2. 0. 50727; NET CLA 3. 5.30729; .NET CLB 3.0.30729; Media Center PC 6.0; InfFoPath.2; .NET4. 0C) — — 
Accept-Encoding: gzip, deflate Refresh 
Höst: JD IIsZ.21.214 

Cookie: PHPSESSID-dSrgsmqam3nÜEekgkieS89jiosetile6; security-low 


? = Type a search term Ü matches 


1 payload position Length: 650 


(? | Payload Sets 


You can define опе or more payload sets. The number of payload sets depends on the attack type defined in the Positions tab. Various 
payload types are available for each payload set, and each payload type can be customized in different ways. 


Payload set: | 1 M Fayload count unknown 
Payload type: Extension-generated = ЕТТЕ unknown 








Payload Options [Extension Select payload generator 
This payload type invokes a Burp & 


Gs 








Select the extension-provided payload generator that you 
Selected generator. X55 Validator wantto use. Burp extensions can be loaded using the 
Extender tool. 


Extension payload generator: | Xoo Validator Payloads 了 | 
Payload Processing 


| OK | Cancel | 
You can define rules to perform var 
| Add | | Enabled g q—................... 


| Edt | 
| Remove | 


| Up | 








如 果 你 如 上 图 中 所 示 的 设置 ， 则 可 以 启动 Intruder 进 行 检 测 了 。 在 检测 过 程 中 ， 我 们 会 看 到 控 
制 台 输出 很 多 日 志 信息 ， 根 据 我 们 的 配置 ， 输 出 alert 信 息 的 表示 payload 检 测 出 存在 Xxss 漏 
洞 。 如 下 图 中 2 所 示 : 


a CA\Windows\system32\cmd.exe - phantomjs xss.Js 


SuntaxError: Unexpected token ”A 


undefined:67 in setContent 
phantomjs:^/^/code^/xsz.js:68 in parsePage 
phantomjs :/7/code/xss.js:183 


Received request with method type: POST 
Processing Post Request 
Heginning to parse page 
URL: http:^^1H.152.21.215http:^^18.152.21.215.^vulnerabilities^/xss rÁ/?name-''"'54&5 
CRIPTSalert (299792458 >" 
Cookies: PHPSESS1D=d?rgsmgqmsnhbkgkie? 31060116; security=low 
SuntaxError: Unexpected EOF 


undefined:67 in setContent 
phantonjs:/-“code/xss.js:68 in parsePage 
phantomjs :/“code/xss.jsi183 


Received request with method type: POST 
Processing Post Request 
Beginning to parse page 
URL: http: 716.152 .21.215http: 7718.152 .21.215-yvulnerabilities/xss_r/tname =< Т FRAN 
E SRC='f' onerror="alert ¢299792458 >">< -T FRAME? 
Cookies: PHPSESS1D=d?rgsmqmsnb6kqgkie? 31060116; security=low 


eceived request with method type: POST 
Pocessing Post Request 
Beginning to parse page 1 
URL: http: 47168.152 .21.215http: “718.152 .21.215/uulnerahbilities/xss_r/?name =< Т FRA 
SRC=" f" onerror=’ alert (299792458 37 ><, [FRRME> 
Cookies: PHPSESS1D=d?rgsmqmsnh6kgkie?31i06t1165 security=low 


eceiued request with method type: POST 
Pocessing Post Request 
Beginning to parse page 2 
URL: http:^^1H.152.21.215http:^^18.152.21.215.^vulnerabilities^/xss rÁ/?name-&IMG ' 
"ée SCRIPT Salert (299792458 >< “SCRIPT >"> 
Cookies: PHPSESS1D=d?rgsmqmsnhbkqgkie? 31060116; security=low 


Оп alert: 299792458 (ae 





同时 ， 在 Intruder 的 执行 界面 上 上， 我们 可 以 通过 Xss_result 来 查看 payload 的 检测 情况 ， 那 些 响 
应 报 文 中 存在 漏洞 标志 的 均 被 标 出 ， 便 于 我 们 对 消息 的 区 分 和 处 理 。 


| Status | Error | Timeout е ж м т _ Length | xss result | Comment 
5701 
5741 
5733 


baseline request 
«script-alert(239792458)«/s ... 
«scr ipt-alert(209792458)«/ .. 


-alert(29979245 


pao! 


IID IS IS IS IS] [< 


D (ЕЁ) (Ё] oooO o 


5745 
5743 
5745 
5742 


"-«script-alert(2897982458)... 

"«script-alert(289792458)«... 
"«script-alert(209792458)«... 
«SCRIPT-alert(289782458) ... 
«scri«script-pt-alert(28978... 5749 
=<5ОН!<5спрї=#РТ=а!еп(299... 5749 


zaepcrnzscrescript-ipt»pnt-aler AE 


< / div> 


кш ш ЕГ Ет 


</div> 


</body> 


араа semuis] dm 


Type a search term ü matches | 





通过 以 上 内 容 的 学 习 ， 我 们 对 PhantomJS 和 xssValidator 在 XSS 漏 洞 检测 方面 的 使 用 有 了 更 深 
入 的 了 解 。 在 实际 应 用 中 ， 由 于 xss 漏 洞 的 复杂 性 ， 不 是 靠 插件 默认 的 payload 就 能 检测 出 来 
的 ， 还 是 需要 读者 自己 去 分 析 和 思考 ， 找 到 具体 的 解决 办 法 ， 本 章 内容 仅 仅 起 着 抛砖引玉 的 
作用 。 文 草 后 的 延伸 阅读 内 容 ， 感 兴趣 的 读者 可 以 进一步 分 析 、 实 践 。 同 时 ， 如 果 有 更 好 的 
此 类 文章， 欢迎 发 邮件 给 我 t0data@hotmail.com， 我 会 添加 到 延伸 阅读 里 。 


延伸 阅读 : 1.Server-Side-XSS-Attack-Detection-with-ModSecurity-and-PhantomJS 


2. 如 何 使 用 开源 组 件 解决 Web 应 用 中 的 XSS 漏 洞 


` 


第 二 十 章 4ë M Burp ` Android Killer 进 行 安 
app i$ 11 


很 多 人 发 邮件 询问 这 章 什 么 时 候 写 ， 在 此 统一 回应 一 下 
平时 工作 较 忙 ， 俗 务 缠 身 ， 暂 时 没有 写 的 计划 

网 上 相关 的 文章 比较 多 ， 可 以 参考 一 下 
https://www.secpulse.com/archives/4325.html 
http://www.freebuf.com/articles/web/29421 html 


https://zhuanlan.zhihu.com/p/22302904 


